10883시간 전
..
레이어제로, 사건보고서 간단요약
-이번 해킹은 LayerZero 자체 문제가 아닌 KelpDAO의 rsETH 설정 문제
-1-of-1 DVN 설정 문제이며 프라이빗 키 탈취가 아닌 DVN이 의존하던 하위 RPC 인프라를 오염시켰음
-op-geth 바이너리 바꿔치기, RPC 스푸핑 공격, 정상 RPC 대상 DDos 공격 등 복합적인 공격이 발생함
-이로 인해 DVN이 실제 발생하지 않은 허위 트랜잭션까지 승인하게 된 검증 경로 교란 공격에 가까움
-사후 RPC 교체했고 1-of-1 DVN 쓰는 고객 앱들 대상 멀티 DVN 교체 요구했으며 1-of-1 DVN 앱에는 DVN이 서명하지 않도록 개선함
원문원문
폐지줍기 연구소
크립토 폐지 수집 중!
로우코스트 로우리턴 지향
트위터 x.com/oldman_cek
링크트리 linktr.ee/updao_kr
개인 메시지 @CeK_94
* 채널 방향성을 고려하여 거래소 증정금 관련 광고는 진행하지 않고 있습니다.
* 광고 및 kol 활동에 의해 작성 된 포스팅은 하단에 #ad, #kol 태그를 기재합니다.
* 일부 포워딩 게시글의 경우 kol 활동을 포함하고있습니다.
최근포스팅
누군가 이미 정답을 알고 있었구나
17053시간 전
what 파이버스
11383시간 전
이걸 근데 100% KelpDAO의 잘못으로 볼 수 있을까?
1. 1-of-1 DVN에 대한 조치가 왜 없었나
1-of-1 DVN이 구조적으로 취약하다는 것은 이미 레이어제로 팀에서도 알고 있었으면 권고 수준이 아니라 설정 단계에 기본적으로 1-of-1을 못하도록 설정했어야 하는 것 아닌지?
2. 결국은 DVN의 문제
결과적으로 Kelp DAO의 DVN 키 유출 문제가 아니라 RPC 오염 공격으로 DVN이 위조 메시지를 승인한 문제면 검증 프로세스 문제인데 이걸 온전히 KelpDAO의 셋업 문제로 치부하기엔 좀 문제가 있지않나
8663시간 전
