针对4月18日发生的Kelp DAO跨链桥约2.92亿美元rsETH被盗事件,LayerZero于周五发布正式公告,首次承认其初期关于“协议运行完全符合设计”的表述存在误导,并对信息传递方式表示歉意。公司坦言:“过去三周的应对极为不妥。我们本应优先进行清晰直接的说明,而非延迟发布完整分析报告。”
协议确认攻击者为朝鲜背景的Lazarus组织,该团伙同时渗透了其去中心化验证节点网络中的内部RPC节点,并对第三方外部供应商实施分布式拒绝服务攻击。这一双重打击迫使系统临时依赖已遭破坏的基础设施,导致伪造的跨链指令获得通过。公司进一步指出,允许单一验证节点承担高价值交易的验证职责是严重疏漏:“尽管开发者有权设定安全参数,但让单个验证节点成为关键交易唯一验证方,属于不可接受的设计错误。”
此次声明标志着其立场的重大调整。此前,LayerZero曾将责任归于Kelp DAO采用的单验证器架构;然而后者反驳称,官方文档和部署指南均默认推荐该配置。据第三方数据平台统计,攻击发生时活跃应用中近半数(47%)使用相同设置。这暴露了跨链基础设施在默认安全策略上的普遍缺陷——尽管协议强调模块化选择权,但多数开发者仍依赖预设模板快速上线,忽视深层风险。
此次事件仅影响单一应用,所涉资产占协议总桥接价值的0.36%。但其警示意义深远:若默认路径导向高风险模式,整个生态的安全边界将被侵蚀。
公司还透露一起约三年半前未对外公布的运维失误:一名多签验证者将生产级硬件钱包用于个人交易,而非专用设备。相关责任人已被替换,涉事钱包已完成轮换,后续所有签名设备均已部署异常行为检测系统。该披露正值行业对多签治理机制加强审查之时。此前链上研究发现,生产级多签钱包出现非协议相关的交易活动,首席执行官解释称这些系前任验证者遗留的测试行为所致。
多签治理仍是核心脆弱环节,一旦生产密钥与私人或外部用途混用,极易形成攻击入口。
为防止类似事件重演,其验证节点网络将彻底取消单一验证器配置支持。默认设置调整为至少五个节点参与验证,低规模链亦需不少于三个节点。协议正开发基于Rust语言的第二验证客户端以提升技术多样性,并重构RPC架构,实现内外部节点间更精细的权限控制。治理层面计划推出开源多签工具,将阈值从5人中3人提升至10人中7人,支持签名者本地哈希交易后再签署,显著降低恶意交易插入可能性。此外,公司正在构建统一安全监控平台,助力资产发行方自定义安全参数并实时识别异常部署行为。
此次事件已改变其在跨链领域的竞争地位。Kelp DAO本周宣布迁移至Chainlink跨链协议,成为首个主动脱离LayerZero的主要项目。另一协议亦表示出于安全考量,将超70亿美元代币化比特币资产转移出该网络。与此同时,由多方联合发起的资产恢复计划已筹集超过3亿美元加密资产。LayerZero通过捐赠与借贷方式提供1万枚ETH,但相关借贷协议因事件面临1.24亿至2.3亿美元潜在坏账压力。公司表示,待外部安全审计团队完成调查后,将发布完整事件分析报告。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.