

LayerZero的执行器服务所依赖的钱包可能已遭受未经授权访问,引发多条链上资产被转移至以太坊。初步追踪显示,攻击者累计获取约955枚ETH(价值约178万美元)和32.2万美元的USDC,相关操作经由Stargate与Relay系统完成跨链归集。此次行动系针对执行节点资产的集中提取,而非利用消息验证机制本身的漏洞,当前尚无法确认密钥泄露的具体路径。
截至目前,未发现LayerZero的消息合约、端点接口或去中心化验证器网络存在被破坏迹象。受影响地址归属于执行基础设施组件,该部分负责在支持链上维持原生Gas余额,用于在消息验证后自动触发跨链交付。
LayerZero的执行器仅在消息通过验证流程后,调用lzReceive()或lzCompose()函数实现最终交付。这些函数为无许可开放接口,允许其他执行器或用户在主执行器失效时接手任务。尽管此次事件可能导致执行钱包资产暴露并中断自动交付流程,但攻击者无法伪造跨链消息或更改验证器集合。
官方此前明确指出,执行器不参与消息有效性判断,其角色仅为Gas抽象与交付代理。即便执行器出现故障,仍可通过手动提交已验证交易保障系统活性,由其他无许可节点继续完成交付。
攻击者借助已部署的两条跨链通道——Stargate与Relay,将资金从多个网络汇集至以太坊。Stargate提供基于LayerZero的原生资产流动性,而Relay则通过跨链意图与求解机制,在目标链完成转账后再结算源链订单。两者的使用并不反映其自身存在漏洞。初步审计未发现其流动性池或合约代码遭受额外损失,表明它们仅作为后续路由工具被利用。
此次事件并非首次暴露出LayerZero生态的潜在风险。此前,KelpDAO曾因RPC基础设施被操控,向单一验证器提供虚假源链信息,致使约2.92亿美元rsETH被错误释放。该事件中,执行器在消息已被验证后执行了交付动作。事后,Lombard将超过10亿美元比特币抵押资产迁移出平台,Virtuals亦将约7亿美元VIRTUAL代币转移至Chainlink CCIP系统,反映出市场对底层执行安全性的高度警惕。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.