YouMind
Genel BakışKullanım SenaryolarıBecerilerİstemlerFiyatlandırmaBlogGüncellemeler
LayerZero Güncellemesi

LayerZero Güncellemesi

@LayerZero_Core
İNGILIZCE5 gün önce · 08 May 2026

AI features

569K
702
109
198
234

TL;DR

LayerZero Labs, Lazarus Group tarafından gerçekleştirilen RPC zehirlenmesi olayını ele alıyor, geçmişteki bir multisig hatasının detaylarını paylaşıyor ve OneSig ile DVN iyileştirmeleri aracılığıyla merkeziyetsiz güvenlik için bir yol haritası sunuyor.

Her şeyden önce: gecikmiş bir özür borçluyuz.

Son üç haftadır iletişim konusunda berbat bir iş çıkardık. Kapsamlı bir post-mortem şeklinde eksiksizlik sağlamaya öncelik vermek istedik, ancak doğrudan ve açık olmalıydık. LayerZero protokolü etkilenmezken, LayerZero Labs DVN'sinin kullandığı kendi dahili RPC'lerimize Lazarus Grubu tarafından saldırı düzenlendi ve doğruluk kaynağı zehirlenirken, harici RPC sağlayıcımız aynı anda DDOS saldırısına uğradı.

Geliştiricilerin kendi güvenlik konfigürasyonlarını seçmeleri gerektiğine inanıyoruz, ancak DVN'mizin yüksek değerli işlemler için 1/1 DVN olarak hareket etmesine izin vermekle hata yaptık. DVN'mizin neyi koruduğunu denetlemedik ve bu, görmediğimiz bir risk yarattı. Bunu kabul ediyoruz. Bundan sonra LayerZero Labs, geliştiricileri eğitmek ve uygulamaların protokol üzerinde güvenli bir şekilde yapılandırıldığından emin olmak için nasıl inşa edilmesi gerektiğini izlemek konusunda daha aktif olacak.

Bu, tek bir uygulamayı (toplam uygulamaların %0,14'ü) ve LayerZero üzerindeki varlıkların değerinin yaklaşık %0,36'sını etkiledi.

Son birkaç haftadır harici güvenlik ortaklarımızla birlikte çalışıyoruz ve çalışmaları tamamlanır tamamlanmaz resmi post-mortem'imizi yayınlayacağız.

Ayrıca, üç buçuk yıl önce, multisig'imizdeki imzacılardan biri, kendi kişisel donanım cüzdanını kullanması gerekirken, multisig donanım cüzdanını kişisel bir işlem yapmak için kullandı. Bunun kabul edilebilir olmadığı açıktır. Bu imzacı multisig'den çıkarıldı, cüzdanlar değiştirildi ve o zamandan beri imzalama cihazlarıyla ilgili güvenlik uygulamalarımızı güncelledik, her cihaza yerel anomali tespit yazılımı ekledik ve OneSig adında özel olarak oluşturulmuş bir multisig geliştirdik.

LayerZero Protokolü

LayerZero, mevcut tüm köprülerin tek bir hata noktasına / sistemik riske sahip olmasına bir yanıt olarak oluşturuldu: eğer bir varlık risk altındaysa, hepsi risk altındadır. Her bir uygulamanın güvenliğini tamamen uçtan uca sahiplenebilmesi ve LayerZero Labs'a hiçbir şekilde güvenmek zorunda kalmaması için inşa edildi.

Tezimiz, kurumsal varlıkların ve kurumların uzun vadede benimseyeceği tek yöntemin bu olduğuydu. Bu mimari, tam da bu nedenle dünyanın en büyük varlık ihraççıları tarafından seçilmiş ve 260 milyar doların üzerinde değer taşımak için kullanılmıştır. Sistemik riski tamamen ortadan kaldıran tek mimari budur ve bir uygulamanın, harici taraflara hiçbir bağımlılık olmaksızın güvenliğini tamamen uçtan uca sahiplenmesine izin veren tek mimaridir.

Son birkaç gündür ortalıkta dolaşan ve ele alınması gereken bir sürü iddia var.

LayerZero üzerindeki varlıklar güvende mi?

Evet. Başka hiçbir uygulama etkilenmedi ve 19 Nisan'dan bu yana LayerZero üzerinden 9 milyar doların üzerinde değer taşındı.

LayerZero on X — cover

LayerZero Labs ne öneriyor?

  • Tüm konfigürasyonlarınızı sabitleyin, böylece LayerZero Labs tarafından kontrol edilen varsayılanlara güvenmezsiniz.
  • Her zincir için blok onaylarınızı, blok yeniden düzenlenmesinin neredeyse imkansız olduğu bir seviyeye ayarlayın.
  • DVN'lerinizi en az iki taraf içerecek şekilde yapılandırın, ancak güvenlik için üç ila beş daha iyidir.
  • Kendi DVN'nizi çalıştırmayı ve "zorunlu" olarak ayarlamayı düşünün, böylece kendi güvenliğinize aktif olarak katılırsınız.

Varlığımın LayerZero Labs'a herhangi bir maruziyeti var mı ve varsa ne kadar?

LayerZero Labs'in bir işleme dahil olabileceği dört alan vardır. En bağımlıdan en az bağımlıya doğru sıralanmıştır:

Güven Varsayımları

  • Uygulamanız varsayılanları (blok onayları, mesajlaşma kütüphanesi, DVN seçimi) işaret ediyorsa, tamamen LayerZero Labs multisig'ine bağımlısınız demektir. Bu multisig, tüm yollar için varsayılanları belirler, hangi mesajlaşma kütüphanesine işaret edileceğini seçer ve varsayılan DVN'leri ayarlar. Bu yalnızca test amaçlıdır ve amaç açıkça tüm güvenlik varsayımlarını LayerZero Labs'a devretmek değilse, üretim uygulamaları için kullanılmamalıdır.
  • Uygulamanız LayerZero Labs DVN'sini DVN'lerden biri olarak kullanıyorsa, güvenlik yığınınızın bir parçası olarak DVN'mizin onaylarına güvenirsiniz. Herhangi bir DVN'yi asla 1/1 olarak seçmemelisiniz çünkü bu tek bir hata noktası oluşturur. Bu nedenle, onu çoklu DVN kurulumuna dahil ediyorsanız, mesajlaşmanız için N parçalı güvenlik varsayımının 1 parçasıdır.

Canlılık Varsayımları

  • Seçtiğiniz DVN'ler bir gaz aktarma hizmeti olarak Essence'ı kullanıyorsa. Bunun güven varsayımlarınız üzerinde kesinlikle 0 etkisi vardır, ancak Essence işlem için gazı aktarmada başarısız olursa, DVN'nin bunu kendisinin yapması gerekir ve bu geçici bir canlılık hatasına neden olabilir.
  • LayerZero Labs yürütücüsü, gaz soyutlaması ve yürütme için kullanılır. Bunun da güven varsayımlarınız üzerinde sıfır etkisi vardır. Ancak, yürütücü bir işlemi yürütmezse, kullanıcının (veya izne tabi olmadığı için herhangi birinin) gazı ödemesi ve hedef zincirde manuel olarak yürütmesi gerekir.

LayerZero Labs, ticaret için multisig'lerini kullanıyor mu?

LayerZero Labs, Uç Nokta sahipliği için bir multisig kullanır. Bu, LayerZero Labs'a yeni zincirler bağlama, yeni doğrulama kütüphaneleri ekleme (yalnızca ekleme) ve varsayılan konfigürasyonları (test için) güncelleme yetkisi verir. Doğru şekilde yapılandırılmış bir uygulama, LayerZero Labs multisig'inin Uç Nokta üzerindeki yetkilerinden tamamen etkilenmez.

Üç buçuk yıl önce, multisig'imizdeki imzacılardan biri, kendi kişisel donanım cüzdanını kullanması gerekirken, multisig donanım cüzdanını kişisel bir işlem yapmak için kullandı. Bunun kabul edilebilir olmadığı açıktır. Bu imzacı multisig'den çıkarıldı, cüzdanlar değiştirildi ve o zamandan beri imzalama cihazlarıyla ilgili güvenlik uygulamalarımızı güncelledik, her cihaza yerel anomali tespit yazılımı ekledik ve OneSig adında özel olarak oluşturulmuş bir multisig geliştirdik.

LayerZero, tüm varlık ihraççılarını daha güvenli hale getirmek için ne yapıyor?

19/4'ten Bu Yana Yapılan İşlemler

  • LayerZero Labs DVN'si artık 1/1 DVN konfigürasyonlarına hizmet vermemektedir.
  • Tüm yollardaki varsayılanlar, mümkün olduğunda 5/5'e ve yalnızca 3 DVN'nin mevcut olduğu zincirlerde en az 3/3'e geçirilmektedir.
  • Rust ile yazılmış ikinci bir DVN istemcisi geliştiriyoruz (istemci çeşitliliği).
  • DVN'lerin dahili, özel-harici ve paylaşımlı-harici RPC'lerden oluşan ayrıntılı çoğunluklar seçmesine olanak tanımak için daha sağlam bir RPC çoğunluk konfigürasyonu oluşturduk.

Daha İyi Güvenlik Yönetimi için Devam Eden Ürün İnovasyonu

LayerZero'un desteklediği tüm zincirlerde daha güvenli imzalama sağlayan özel bir multisig olan OneSig'i geliştirdik.

  • Kendi multisig eşiğimizi ve imzacılarımızı, OneSig'in bulunduğu tüm zincirlerde 3/5'ten 7/10'a güncelleyecek ve ayrıca üretime hazır bir sürümü harici taraflara sunacağız.
  • OneSig, imzacının işlemleri indirmesine, ardından bunları yerel olarak merkle ağacına dönüştürmesine ve hash'lemesine ve kök hash'ini imzalamasına olanak tanır. Bu, hash'leme kullanıcı tarafında gerçekleştiği için arka ucun yetkisiz işlemler sıkıştırmasını engeller.
  • Her OneSig imzacısı, anormallikleri veya yersiz görünen işlemleri aramak için kendi özel güvenlik denetleyicisini geliştirmiştir. Bu denetleyicileri özel imzalama makinelerinde gizli tutar ve belirli kriterlerini şirketle veya diğer imzacılarla paylaşmazlar.

Son birkaç ayı, ihraççıların varlık ihracını ve güvenliğini tek bir yerden yapılandırmasına, dağıtmasına ve yönetmesine olanak tanıyan birleşik bir platform olarak hizmet verecek olan Console'u oluşturmakla geçirdik.

  • Console, otomatik anomali tespiti ile birlikte gelir: bilinmeyen DVN'ler, sahiplik değişiklikleri, blok onaylarındaki değişiklikler, güvenli olmayan konfigürasyonlar, varsayılanların kullanımı ve daha fazlası.
  • Dahili OneSig entegrasyonu.

Bu güncellemenin doğrudan bağlantısı blog'umuzda.

More patterns to decode

Recent viral articles

Explore more viral articles

İçerik üreticileri için tasarlandı.

𝕏 üzerindeki viral makalelerden içerik fikirleri bulun, neden işe yaradıklarını çözün ve kanıtlanmış kalıpları bir sonraki içerik açınıza dönüştürün.

YouMind ile oluşturmaya başlaExplore more viral articles

© 2026 MIND MOTOR PTE. LTD.

YouMind - The first AI learning and creation agent where learning meets writing | Product Hunt
Prompts
Nano Banana Pro komutlarıGPT Image 2 komutlarıSeedance 2.0 komutlarıGPT Image 1.5 komutlarıSeedream 4.5 komutlarıGemini 3 Pro komutları
Yapay Zeka Araçları
GPT Image 2 slaytları𝕏 viral makale takibiNano Banana 2 ve Pro karşılaştırmasıABTI Kişilik TestiLenny Kariyer Koçu
Blog
NotebookLM Alternatifleri
Ürün
Kullanım SenaryolarıFiyatlandırma
Şirket
Bize Ulaşın
GizlilikŞartlar