据 LayerZero 称,该协议于周五就其 4 月 18 日发生的漏洞处理问题发布了公开道歉。该漏洞从 Kelp DAO 的跨链桥中抽走了 2.92 亿美元 rsETH,标志着其此前事后分析文章在语气上的显著转变。LayerZero 承认,其去中心化验证器网络(Decentralized Verifier Network,DVN)不应当充当高价值交易的唯一验证器,并表示:“我们允许我们的 DVN 作为高价值交易的 1/1 DVN,这是我们的错误。”公司透露,朝鲜的 Lazarus Group 在同时向外部服务商发起 DDoS 攻击的过程中,已经攻破了其内部 RPC 节点,迫使 DVN 依赖被投毒的基础设施。

LayerZero 列出了整改步骤:其 DVN 将不再服务 1/1 配置;默认设置正在迁移为在可能的情况下至少需要五名验证器;公司计划使用 OneSig 将其 multisig 阈值从 3-of-5 升级到 7-of-10。此次漏洞影响了网络中约 0.14% 的应用以及全部资产的 0.36%,自 4 月 19 日以来,已有超过 90 亿美元的资金通过该协议发生了跨链转移。