LayerZero に関するアップデート

まず最初に：遅ればせながらのお詫び。

過去 3 週間、私たちはコミュニケーションにおいて大きな失敗をしました。包括的な事後報告書の形で完全性を優先しようと考えましたが、まずは率直に話すべきでした。LayerZero プロトコル自体は影響を受けなかったものの、LayerZero Labs の DVN が使用していた社内 RPC が Lazarus Group による攻撃を受け、情報源が改ざんされると同時に、外部の RPC プロバイダーが DDoS 攻撃を受けました。

私たちは、開発者が自身のセキュリティ設定を選択できるべきだと考えています。しかし、高額なトランザクションに対して、自社の DVN を 1/1 DVN として機能させることを許したのは誤りでした。私たちは自社の DVN が何を保護しているかを監視しておらず、それによって見過ごしていたリスクが生じていました。その責任は私たちにあります。今後、LayerZero Labs は、開発者への教育と、アプリケーションがプロトコル上でどのように構築されるべきかを監視し、安全に設定されていることを確認するために、より積極的に関与していきます。

この影響を受けたのは、1 つのアプリケーション（全アプリケーションの 0.14%）と、LayerZero 上の資産価値の約 0.36% でした。

ここ数週間、外部のセキュリティパートナーと協力しており、彼らの作業が完了次第、公式の事後報告書を公開します。

また、3 年半前、マルチシグの署名者の 1 人が、自身の個人用ハードウェアウォレットを使用するつもりだったところ、誤ってマルチシグ用のハードウェアウォレットを使って個人取引を行いました。これは明らかに許されることではありません。この署名者はマルチシグから外され、ウォレットはローテーションされ、その後、署名デバイスに関するセキュリティ慣行を更新し、各デバイスに局所的な異常検知ソフトウェアを追加し、OneSig というカスタム構築のマルチシグを作成しました。

LayerZero プロトコル

LayerZero は、既存のすべてのブリッジが持つ単一障害点 / システムリスク（1 つの資産が危険にさらされれば、すべての資産が危険にさらされる）への対応として構築されました。すべてのアプリケーションがセキュリティを完全にエンドツーエンドで管理でき、LayerZero Labs にまったく依存する必要がないように設計されました。

私たちの考えは、これこそが機関投資家の資産と機関自体が長期的に採用する唯一の方法であるというものでした。このアーキテクチャこそが、世界最大の資産発行体に選ばれ、2,600 億ドル以上の移動に使用されてきた理由です。システムリスクを完全に排除する唯一のアーキテクチャであり、アプリケーションが外部の当事者に依存することなく、セキュリティを完全にエンドツーエンドで管理できる唯一のアーキテクチャです。

ここ数日、多くの主張が飛び交っていますが、それらに対処する価値があります。

LayerZero 上の資産は安全ですか？

はい。他のアプリケーションは影響を受けておらず、4 月 19 日以降、90 億ドル以上が LayerZero を通じて移動されています。

LayerZero Labs は何を推奨しますか？

すべての設定を固定し、LayerZero Labs が管理するデフォルトに依存しないようにしてください。
各チェーンのブロック確認数を、ブロックの再編成がほぼ不可能なレベルに設定してください。
DVN を少なくとも 2 者含むように設定してください。ただし、セキュリティ的には 3 ～ 5 者がより良いです。
自身の DVN を実行し、「必須」に設定して、自身のセキュリティに積極的に関与することを検討してください。

私の資産は LayerZero Labs にさらされていますか？また、その程度は？

LayerZero Labs がトランザクションに関与する可能性がある領域は 4 つあります。依存度の高い順に並べています。

信頼の前提

アプリケーションがデフォルト（ブロック確認数、メッセージングライブラリ、DVN 選択）を指している場合、LayerZero Labs のマルチシグに完全に依存していることになります。このマルチシグは、すべてのパスのデフォルトを設定し、どのメッセージングライブラリを指すかを選択し、デフォルトの DVN を設定します。これはテスト専用であり、すべてのセキュリティ前提を LayerZero Labs に明示的に委任する場合を除き、本番アプリケーションで使用すべきではありません。
アプリケーションが LayerZero Labs の DVN を DVN の 1 つとして使用する場合、セキュリティスタックの一部として当社の DVN の証明に依存することになります。1/1 の DVN を選択することは単一障害点を生み出すため、決して行うべきではありません。マルチ DVN 設定に含める場合、それはメッセージングの N 個のセキュリティ前提のうちの 1 つです。

ライブネスの前提

選択した DVN がガスリレーサービスとして Essence を使用する場合。これは信頼の前提にはまったく影響しませんが、Essence がトランザクションのガスリレーに失敗した場合、DVN 自身がそれを行う必要があり、一時的なライブネス障害が発生する可能性があります。
LayerZero Labs の Executor は、ガス抽象化と実行に使用されます。これも信頼の前提にはまったく影響しません。ただし、Executor がトランザクションを実行しない場合、ユーザー（または誰でも、これはパーミッションレスであるため）がガスを支払い、宛先チェーンで手動で実行する必要があります。

LayerZero Labs はマルチシグを取引に使用していますか？

LayerZero Labs は、エンドポイントの所有権にマルチシグを使用しています。これにより、LayerZero Labs は新しいチェーンの接続、新しい検証ライブラリの追加（追加のみ）、およびデフォルト設定の更新（テスト用）を行う権限を持ちます。適切に設定されたアプリケーションは、LayerZero Labs のマルチシグがエンドポイントに対して持つ権限にまったく影響されません。

3 年半前、マルチシグの署名者の 1 人が、自身の個人用ハードウェアウォレットを使用するつもりだったところ、誤ってマルチシグ用のハードウェアウォレットを使って個人取引を行いました。これは明らかに許されることではありません。この署名者はマルチシグから外され、ウォレットはローテーションされ、その後、署名デバイスに関するセキュリティ慣行を更新し、各デバイスに局所的な異常検知ソフトウェアを追加し、OneSig というカスタム構築のマルチシグを作成しました。

LayerZero は、すべての資産発行体のセキュリティを高めるために何をしていますか？

4/19 以降の措置

LayerZero Labs の DVN は、1/1 DVN 設定を提供しなくなりました。
すべてのパスのデフォルトは、可能な限り 5/5 に移行され、3 つの DVN しか利用できないチェーンでは最低 3/3 に移行されています。
Rust で書かれた 2 つ目の DVN クライアントを開発中です（クライアントの多様性）。
DVN が内部、専用外部、共有外部の RPC の詳細なクォーラムを選択できるように、より堅牢な RPC クォーラム設定を作成しました。

より良いセキュリティ管理のための継続的な製品革新

LayerZero がサポートするすべてのチェーンで、より安全な署名を可能にする特殊なマルチシグである OneSig を開発しました。

OneSig が存在するすべてのチェーンで、自社のマルチシグのしきい値と署名者を 3/5 から 7/10 に更新し、製品版を外部の当事者にも提供します。
OneSig を使用すると、署名者はトランザクションをダウンロードし、それをマークル化してローカルでハッシュ化し、ルートハッシュに署名できます。これにより、ハッシュ化がユーザー側で行われるため、バックエンドが不正なトランザクションをすり抜けるのを防ぎます。
すべての OneSig 署名者は、異常や場違いなトランザクションを探すための独自のプライベートセキュリティチェッカーを開発しています。これらのチェッカーは専用の署名マシン上で非公開に保たれ、その具体的な基準を会社や他の署名者と共有することはありません。

ここ数ヶ月、Console の構築に取り組んできました。これは、発行体が資産の発行とセキュリティを一元管理して設定、デプロイ、管理できる統合プラットフォームとして機能します。