Cập nhật về LayerZero

Trước hết: một lời xin lỗi đã quá hạn.

Chúng tôi đã làm rất tệ trong việc truyền thông suốt ba tuần qua. Chúng tôi muốn ưu tiên sự đầy đủ dưới dạng một bài phân tích toàn diện, nhưng lẽ ra chúng tôi nên đi thẳng vào vấn đề. Trong khi giao thức LayerZero không bị ảnh hưởng, các RPC nội bộ của chúng tôi mà DVN của LayerZero Labs sử dụng đã bị tấn công bởi Tập đoàn Lazarus và nguồn dữ liệu gốc của chúng đã bị đầu độc, đồng thời nhà cung cấp RPC bên ngoài của chúng tôi cũng bị tấn công DDOS.

Chúng tôi tin rằng các nhà phát triển nên tự chọn cấu hình bảo mật của riêng họ, nhưng chúng tôi đã phạm sai lầm khi cho phép DVN của mình hoạt động như một DVN 1/1 cho các giao dịch giá trị cao. Chúng tôi đã không kiểm soát những gì DVN của mình đang bảo vệ, điều này tạo ra một rủi ro mà chúng tôi đơn giản là không nhìn thấy. Chúng tôi nhận trách nhiệm về điều đó. Trong tương lai, LayerZero Labs sẽ chủ động hơn trong việc giáo dục các nhà phát triển và giám sát cách các ứng dụng nên xây dựng trên giao thức để đảm bảo chúng được cấu hình an toàn.

Sự cố này chỉ ảnh hưởng đến một ứng dụng duy nhất (0,14% tổng số ứng dụng) và khoảng 0,36% giá trị tài sản trên LayerZero.

Chúng tôi đã làm việc với các đối tác bảo mật bên ngoài trong vài tuần qua và sẽ công bố bài phân tích chính thức ngay sau khi công việc của họ hoàn tất.

Ngoài ra, ba năm rưỡi trước, một trong những người ký trên multisig của chúng tôi đã sử dụng ví phần cứng multisig của họ để thực hiện một giao dịch cá nhân khi họ định dùng ví phần cứng cá nhân của riêng mình. Điều này rõ ràng là không được phép. Người ký này đã bị loại khỏi multisig, các ví đã được xoay vòng, và chúng tôi đã cập nhật các biện pháp bảo mật liên quan đến thiết bị ký, thêm phần mềm phát hiện bất thường cục bộ trên mỗi thiết bị, và tạo ra một multisig tùy chỉnh có tên là OneSig.

Giao thức LayerZero

LayerZero được xây dựng như một giải pháp cho vấn đề mọi cầu nối hiện tại đều có một điểm lỗi duy nhất / rủi ro hệ thống: nếu một tài sản gặp rủi ro, tất cả đều gặp rủi ro. Nó được xây dựng để mọi ứng dụng có thể hoàn toàn tự chủ về bảo mật từ đầu đến cuối và không cần phải phụ thuộc vào LayerZero Labs.

Luận điểm của chúng tôi là đây là phương pháp duy nhất mà các tổ chức và tài sản tổ chức sẽ áp dụng lâu dài. Kiến trúc này chính là lý do tại sao nó được lựa chọn bởi các nhà phát hành tài sản lớn nhất thế giới và đã được sử dụng để chuyển hơn 260 tỷ USD. Đây là kiến trúc duy nhất loại bỏ hoàn toàn rủi ro hệ thống, và là kiến trúc duy nhất cho phép một ứng dụng hoàn toàn tự chủ về bảo mật từ đầu đến cuối mà không phụ thuộc vào bên thứ ba.

Đã có rất nhiều tuyên bố lan truyền trong vài ngày qua đáng để làm rõ.

Tài sản trên LayerZero có an toàn không?

Có. Không có ứng dụng nào khác bị ảnh hưởng và hơn 9 tỷ USD đã được chuyển qua LayerZero kể từ ngày 19 tháng 4.

LayerZero Labs khuyến nghị gì?

• Cố định tất cả các cấu hình của bạn để không phụ thuộc vào các mặc định do LayerZero Labs kiểm soát.
• Đặt số lần xác nhận khối cho mỗi chuỗi ở mức mà việc tổ chức lại khối gần như là không thể.
• Cấu hình các DVN của bạn bao gồm ít nhất hai bên, mặc dù ba đến năm là tốt hơn cho bảo mật.
• Cân nhắc chạy DVN của riêng bạn và đặt nó ở chế độ "bắt buộc" để bạn chủ động tham gia vào bảo mật của chính mình.

Tài sản của tôi có bất kỳ rủi ro nào từ LayerZero Labs không, và nếu có thì bao nhiêu?

Có bốn lĩnh vực mà LayerZero Labs có thể tham gia vào một giao dịch. Được sắp xếp từ phụ thuộc nhiều nhất đến ít nhất:

Giả định về độ tin cậy

• Nếu ứng dụng của bạn trỏ đến các mặc định (xác nhận khối, thư viện nhắn tin, lựa chọn DVN) thì bạn hoàn toàn phụ thuộc vào multisig của LayerZero Labs. Multisig này đặt các mặc định cho tất cả các đường dẫn, chọn thư viện nhắn tin nào để trỏ đến, và đặt các DVN mặc định. Điều này chỉ dành cho mục đích thử nghiệm và không nên được sử dụng cho các ứng dụng sản xuất, trừ khi mục tiêu là ủy thác rõ ràng tất cả các giả định bảo mật cho LayerZero Labs.
• Nếu ứng dụng của bạn sử dụng DVN của LayerZero Labs như một trong các DVN, thì bạn phụ thuộc vào các chứng thực của DVN chúng tôi như một phần của ngăn xếp bảo mật của bạn. Bạn không bao giờ nên chọn bất kỳ DVN nào là 1/1 vì nó tạo ra một điểm lỗi duy nhất, vì vậy nếu bạn bao gồm nó trong một thiết lập đa DVN, nó là 1 phần trong giả định bảo mật N phần cho việc nhắn tin của bạn.

Giả định về tính khả dụng

• Nếu các DVN bạn chọn sử dụng Essence như một dịch vụ chuyển tiếp gas. Điều này hoàn toàn không ảnh hưởng đến các giả định về độ tin cậy của bạn, mặc dù nếu Essence không chuyển tiếp gas cho giao dịch, DVN sẽ phải tự làm điều đó, và nó có thể gây ra lỗi tạm thời về tính khả dụng.
• Trình thực thi của LayerZero Labs được sử dụng để trừu tượng hóa gas và thực thi. Một lần nữa, điều này không ảnh hưởng gì đến các giả định về độ tin cậy của bạn. Tuy nhiên, nếu trình thực thi không thực thi một giao dịch, người dùng (hoặc bất kỳ ai, vì điều này không cần cấp phép) sẽ cần phải trả gas và tự thực thi nó trên chuỗi đích.

LayerZero Labs có sử dụng multisig của họ để giao dịch không?

LayerZero Labs sử dụng một multisig để sở hữu Endpoint. Điều này cho phép LayerZero Labs có quyền kết nối các chuỗi mới, thêm (chỉ thêm) các thư viện xác thực mới, và cập nhật các cấu hình mặc định (cho mục đích thử nghiệm). Một ứng dụng được cấu hình đúng cách hoàn toàn không bị ảnh hưởng bởi các quyền hạn mà multisig của LayerZero Labs có đối với Endpoint.

Ba năm rưỡi trước, một trong những người ký trên multisig của chúng tôi đã sử dụng ví phần cứng multisig của họ để thực hiện một giao dịch cá nhân khi họ định dùng ví phần cứng cá nhân của riêng mình. Điều này rõ ràng là không được phép. Người ký này đã bị loại khỏi multisig, các ví đã được xoay vòng, và chúng tôi đã cập nhật các biện pháp bảo mật liên quan đến thiết bị ký, thêm phần mềm phát hiện bất thường cục bộ trên mỗi thiết bị, và tạo ra một multisig tùy chỉnh có tên là OneSig.

LayerZero đang làm gì để giúp tất cả các nhà phát hành tài sản an toàn hơn?

Các hành động kể từ ngày 19/4

• DVN của LayerZero Labs không còn phục vụ các cấu hình DVN 1/1 nữa
• Tất cả các mặc định trên mọi đường dẫn đang được chuyển sang 5/5 nếu có thể và không ít hơn 3/3 trên bất kỳ chuỗi nào chỉ có 3 DVN khả dụng
• Chúng tôi đang phát triển một client DVN thứ hai được viết bằng Rust (đa dạng hóa client)
• Chúng tôi đã tạo ra một cấu hình nhóm RPC mạnh mẽ hơn để cho phép các DVN chọn các nhóm chi tiết gồm RPC nội bộ, RPC chuyên dụng bên ngoài và RPC bên ngoài dùng chung

Đổi mới sản phẩm liên tục để quản lý bảo mật tốt hơn

Chúng tôi đã phát triển OneSig, một multisig chuyên dụng cho phép ký an toàn hơn trên tất cả các chuỗi mà LayerZero hỗ trợ.

• Chúng tôi sẽ cập nhật ngưỡng và số lượng người ký multisig của riêng mình từ 3/5 lên 7/10 trên tất cả các chuỗi nơi OneSig tồn tại, cũng như cung cấp phiên bản sản xuất cho các bên bên ngoài.
• OneSig cho phép người ký tải xuống các giao dịch, sau đó merklize và băm chúng cục bộ để ký root hash. Điều này ngăn chặn backend chèn các giao dịch trái phép vì việc băm diễn ra ở phía người dùng.
• Mỗi người ký OneSig đã phát triển trình kiểm tra bảo mật riêng của họ để tìm kiếm các bất thường hoặc giao dịch có vẻ không phù hợp. Họ giữ các trình kiểm tra này ở chế độ riêng tư trên các máy ký chuyên dụng của mình và không chia sẻ các tiêu chí cụ thể với công ty hoặc những người ký khác.

Chúng tôi đã dành vài tháng qua để xây dựng Console, một nền tảng thống nhất để các nhà phát hành cấu hình, triển khai và quản lý việc phát hành tài sản và bảo mật từ một nơi duy nhất.

• Console đi kèm với tính năng phát hiện bất thường tự động: các DVN không xác định, thay đổi quyền sở hữu, thay đổi số lần xác nhận khối, cấu hình không an toàn, sử dụng các mặc định và nhiều hơn nữa.
• Tích hợp OneSig sẵn có.

Liên kết trực tiếp đến bản cập nhật này trên blog của chúng tôi.