Tag: Lazarus Group

  • LayerZero atsiprašo dėl Kelp DAO įsilaužimo komunikacijos: pripažino klaidą dėl vieno tikrintojo schemos

    LayerZero atsiprašo dėl Kelp DAO įsilaužimo komunikacijos: pripažino klaidą dėl vieno tikrintojo schemos

    Tarpblokinių pervedimų protokolas LayerZero paviešino atsiprašymą dėl to, kaip komunikavo po Kelp DAO tilto incidento, per kurį iš sistemos buvo neteisėtai išvesta apie 270 000 000 eurų vertės rsETH. Tai ryškus tono pokytis po ankstesnio vertinimo, kuriame buvo teigiama, kad sprendimas „veikė taip, kaip buvo numatyta“.

    Įmonė pripažino, kad per kelias savaites po atakos jai nepavyko aiškiai ir tiesiai paaiškinti situacijos. LayerZero teigimu, siekta parengti išsamų techninį paaiškinimą, tačiau rinkai labiausiai trūko greitos ir konkrečios informacijos apie rizikas bei atsakomybę.

    Kas įvyko per ataką?

    LayerZero nurodė, kad buvo kompromituoti vidiniai RPC mazgai, kuriuos naudojo jos Decentralized Verifier Network (DVN) skaityti šaltinės grandinės būseną. Tuo pat metu įvykdyta DDoS ataka prieš išorinius RPC tiekėjus privertė sistemą remtis pažeista infrastruktūra.

    Dėl to DVN patvirtino operacijas, kurios realiai neįvyko, ir taip buvo atvertas kelias neteisėtiems pervedimams. LayerZero incidentą siejo su Šiaurės Korėjos Lazarus grupe, kuri anksčiau ne kartą buvo minėta kaip viena aktyviausių kriptovaliutų vagysčių vykdytojų.

    Vienas tikrintojas kaip „numatytasis“ pasirinkimas

    Svarbiausia atsiprašymo dalis buvo pripažinimas, kad LayerZero neturėjo leisti savo DVN veikti kaip vieninteliam tikrintojui didelės vertės pervedimuose. Įmonė teigė, kad kūrėjams turi būti paliekama pasirinkimo laisvė, tačiau tokia 1 iš 1 konfigūracija neturėjo būti toleruojama didelės rizikos scenarijuose.

    Kelp DAO anksčiau viešai nesutiko su naratyvu, kad visa atsakomybė tenka vien projekto konfigūracijai, ir argumentavo, jog vieno tikrintojo schema buvo pateikiama kaip įprastas įdiegimo pavyzdys. Rinkoje tai tapo platesne diskusija apie tai, kur baigiasi platformos rekomendacijų atsakomybė ir kur prasideda konkretaus produkto komandos pareiga atlikti papildomą rizikos vertinimą.

    LayerZero taip pat pateikė masto kontekstą, pabrėždama, kad incidentas palietė vieną programą, o ne visą ekosistemą. Vis dėlto vieno didelio atvejo pakanka, kad pasitikėjimas tarpblokine infrastruktūra smuktų, nes tokie tiltai laikomi vienu dažniausių atakų taikinių visame kriptovaliutų sektoriuje.

    Kokius pokyčius žada LayerZero?

    Po incidento LayerZero skelbia pakeitusi praktiką: LayerZero Labs DVN nebeaptarnauja 1 iš 1 konfigūracijų. Įmonė taip pat migruoja numatytuosius nustatymus taip, kad daugelyje kelių būtų reikalaujama bent penkių tikrintojų, o grandinėse, kur pasirinkimų mažiau, būtų taikomas bent trijų tikrintojų slenkstis.

    Techninėje dalyje planuojamas antras DVN klientas, parašytas „Rust“ kalba, siekiant sumažinti priklausomybę nuo vienos kodo bazės ir didinti atsparumą klaidoms. RPC architektūroje žadami smulkesni kvorumo valdikliai, kad sistema galėtų lanksčiau derinti vidinius ir išorinius mazgų tiekėjus.

    Dar viena atskleista detalė susijusi su operacine sauga: prieš kelerius metus vienas iš daugiaparašio pasirašytojų asmeniniam sandoriui panaudojo gamybinę aparatinę piniginę. LayerZero teigė, kad pasirašytojas buvo pašalintas, piniginės pakeistos, o į pasirašymo įrenginius įdiegta anomalijų aptikimo programinė įranga.

    Atsiprašymas pasirodė tuo metu, kai dalis rinkos dalyvių peržiūri tarpblokinių sprendimų tiekėjus. Keli protokolai po incidento paskelbė perkeliantys infrastruktūrą į alternatyvius sprendimus, o tai rodo, kad saugumo architektūra ir atsakomybės ribos tampa konkurenciniu veiksniu, o ne tik technine detale.

    LayerZero teigė, kad pilnas techninis post mortem bus paskelbtas užbaigus išorinių saugumo partnerių tyrimus. Iki tol pagrindinis rinkos lūkestis išlieka paprastas: kad numatytieji nustatymai nebeskatintų rizikingų diegimų, o incidentų komunikacija būtų greitesnė ir aiškesnė.

  • Arbitrum įšaldyti 30 766 ETH: JAV teismas stabdo planą grąžinti lėšas po „Kelp DAO“ įsilaužimo

    Arbitrum įšaldyti 30 766 ETH: JAV teismas stabdo planą grąžinti lėšas po „Kelp DAO“ įsilaužimo

    Niujorko federalinis teismas apsunkino Arbitrum DAO planą nukentėjusiesiems kompensuoti nuostolius po „Kelp DAO“ išnaudojimo, per kurį buvo pasisavinta apie 292 mln. JAV dolerių vertės kriptoturto. Arbitrum Saugumo taryba dar balandžio 20 dieną įšaldė 30 766 ETH, kai lėšos buvo atsektos iki su įsilaužimu siejamų adresų.

    Gegužės 1 dieną ieškovų atstovai pateikė Arbitrum DAO teismo draudimą, kuris riboja galimybes perkelti įšaldytą turtą. Šio veiksmo esmė tokia: įšaldytas eteris traktuojamas kaip turtas, kuriame Šiaurės Korėja gali turėti interesą, jei vagystė priskiriama su režimu siejamai grupei.

    Su įsilaužimu susijusį incidentą tiltų infrastruktūroje kai kurie rinkos dalyviai ir tyrėjai siejo su Lazarus grupe, kuri tarptautiniu mastu minima kaip su Šiaurės Korėja siejama kibernetinių nusikaltimų struktūra. Būtent ši prielaida tapo pagrindu bandymui įšaldytas lėšas priskirti prie režimo turto, į kurį galėtų pretenduoti senesnių teismo sprendimų kreditoriai.

    Ieškovai, inicijavę draudimą, nėra „Kelp DAO“ incidento aukos. Jie remiasi anksčiau priimtais ir iki šiol neįvykdytais teismų sprendimais dėl žalos, siejamos su Šiaurės Korėjos veikla, o įšaldytas kriptoturtas laikomas potencialiu išieškojimo objektu.

    Pagal viešai aptariamą teisinę logiką, svarbią vietą užima JAV teisės aktai, kurie tam tikromis sąlygomis leidžia kreditoriams išieškoti turtą, siejamą su terorizmą remiančiomis valstybėmis. Tokiose bylose esminis klausimas dažnai tampa ne vien nuosavybės kilmė, bet ir tai, ar turtas laikytinas režimo, jo agentūrų ar su jomis siejamų struktūrų nuosavybe.

    Tuo pat metu Arbitrum DAO bendruomenėje buvo pradėtas balsavimas dėl pasiūlymo įšaldytą eterį pervesti į DeFi United, po įsilaužimo suformuotą kelių protokolų paramos fondą. Pasiūlyme numatyta, kad lėšos būtų laikomos kelių parašų valdymo mechanizme, o jų panaudojimas būtų nukreiptas į nukentėjusiųjų turto atkūrimą.

    Viešoje erdvėje pasigirdo ir griežtos kritikos ieškovų strategijai. Kritikai tvirtina, kad tokie bandymai pasinaudoti naujai įšaldytu kriptoturtu gali sukurti precedentą, kai pirminiai įsilaužimo nukentėjusieji atsiduria antrame plane, nors lėšos yra aiškiai atsekamos iki konkretaus įvykio.

    Kai kurie DeFi bendruomenės atstovai taip pat svarsto, ar decentralizuota organizacija apskritai privalo vykdyti tokį draudimą taip, kaip tai būtų taikoma tradicinėms įmonėms. Kita diskusijos ašis yra delegatų ir balsuojančių žetonų turėtojų atsakomybė, jei teisiniai ginčai pereitų į asmeninės atsakomybės klausimus.

    Artimiausiu metu Arbitrum delegatams teks spręsti kelias praktines dilemas. Pirmiausia, ar įmanoma teisėtai ir saugiai įgyvendinti nukentėjusiųjų kompensavimo planą, kai įšaldytam turtui taikomi apribojimai, ir kaip sumažinti riziką tiems, kurie dalyvauja lėšų valdyme.

    Antra, tai platesnis precedento klausimas visam sektoriui: kai pavogtas kriptoturtas yra atsekamas, o į jį vienu metu pretenduoja ir tiesioginiai įsilaužimo nukentėjusieji, ir senesni teismo sprendimų kreditoriai, prioritetų nustatymas gali lemti, kaip ateityje bus organizuojami panašūs lėšų susigrąžinimo procesai.