LayerZero Labs于2026年5月8日发布致歉信,就近期因Lazarus Group针对KelpDAO的网络攻击所暴露的沟通失当与运营问题作出说明。虽核心协议未受波及,但内部系统遭受侵扰,促使公司正视过往在安全流程上的疏漏。
2026年4月19日,黑客组织Lazarus Group入侵了LayerZero Labs的内部RPC节点,这些节点构成其DVN网络的一部分。攻击者篡改了可信数据源,并对第三方外部RPC服务实施分布式拒绝服务攻击。经核实,核心协议运行正常,未发生中断。
此次事件仅影响单一应用,占所有LayerZero生态应用的0.14%,且涉及桥接资产价值的0.36%。其中,约3亿美元的rsETH资产在KelpDAO平台被盗。
在致歉信中,公司披露三年半前曾出现一起严重违规:一名签名者将本应用于多重签名交易的硬件钱包,通过个人账户在Uniswap上进行McPepes迷因币的私人性交易。该行为已被认定为重大操作失职。
涉事签名者已更换,相关钱包完成替换,并部署新管控机制以杜绝重演。然而,此事件与联合创始人Bryan Pellegrino此前声称的“标准OFT测试”说法存在明显矛盾。部分社区成员指出,该迷因币长期有来自同一多签地址的连续交易记录,质疑声明真实性。
LayerZero补充说明,其多重签名机制仅控制端点功能,如链的增删与默认测试配置更新,不涉及具体应用逻辑。
LayerZero强调其设计初衷是消除传统跨链桥中的单点故障风险。每个应用可独立实现端到端安全性,无需依赖中心化实体。
为此,公司建议开发者采取以下措施:锁定所有配置参数,避免使用由LayerZero Labs管理的默认设置;提升各链区块确认数量以降低重组风险;在配置DVN时至少引入两方参与者(推荐三至五方);并鼓励运行自有必需的DVN节点。
同时,公司明确了信任与活性相关的假设前提:若依赖单一验证者的默认应用或DVN,其信任基础完全建立在LayerZero Labs的多签控制之上。而Gas中继服务(如Essence和LayerZero执行器)仅影响系统活跃性,不构成信任风险。
事件后,公司已停止支持1/1配置的DVN;路径默认设置升级为5/5或3/3模式,并正在用Rust语言开发新一代DVN客户端。
LayerZero最初试图将责任归于合作伙伴的做法迅速招致舆论反噬。作为直接后果,KelpDAO与Solv Protocol已切换至Chainlink系统,而Beefy、Ethena、BitGo、Lombard等众多项目亦启动集成方案重新评估。
市场担忧跨链交易量下滑、Stargate收益减少以及ZRO代币回购计划可能受阻。
在发生约3亿美元资产被盗后,公司未能主动担责,反而将问题外推,导致信任崩塌。目前已有多个项目完成迁移,反映出生态信心动摇。
为修复声誉,LayerZero承诺向DeFi United救援计划捐赠5000枚ETH,另向Aave流动性池注入同等规模的ETH。尽管如此,该事件仍引发关于跨链协议安全边界与治理透明度的广泛讨论。公司表示未来将采用OneSig框架下的7/10多签机制以强化控制。
尽管坚持认为其协议仍是大规模安全交易的关键基础设施,但未来数周内开发者与生态项目的实际动向,将成为衡量其修复能力的核心指标。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.