资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
LayerZero就Kelp DAO攻击事件作出哪些关键说明?
针对4月18日Kelp DAO跨链桥约2.92亿美元rsETH被盗事件,LayerZero于周五发布公开声明,承认其早期关于“协议完全按设计运行”的表述不当,并对沟通方式作出反思。公司表示:“过去三周我们的沟通处理非常糟糕。本希望以完整的事后分析报告为优先,但更应率先进行直接明确的说明。”
协议将攻击归因于朝鲜黑客组织Lazarus,指出攻击者同时入侵其去中心化验证节点网络的内部RPC节点,并对外部RPC供应商发起分布式拒绝服务攻击。这导致验证系统被迫使用已受损的基础设施,使欺诈性跨链消息获得批准。公司同时承认,绝不应允许自身验证节点作为高价值交易的唯一验证方:“虽然开发者应自主选择安全配置,但我们允许验证节点作为高价值交易的单一验证方是一个错误。”
单一验证配置为何引发争议?
此次声明标志着LayerZero态度的重大转变。此前其将责任归咎于Kelp DAO选择单验证器配置,而Kelp DAO反驳称协议官方文档与指引材料均将该配置作为默认方案推广。据第三方分析平台数据显示,攻击发生时约2665个活跃应用中47%采用相同配置。争议暴露出跨链基础设施默认安全设置的普遍隐患——尽管协议常宣传模块化安全选项,开发者在部署应用时往往依赖推荐模板与快捷配置。LayerZero强调此次攻击仅影响单个应用,涉及资产规模约占协议桥接总价值的0.36%。
安全实践启示
跨链安全模型的强度取决于其默认配置。允许高价值交易采用单验证器设置会形成集中化风险,这种风险可能波及其他应用。
LayerZero还披露了哪些安全问题?
公司另披露了一起约三年半前未公开的操作安全事件:其多签验证者误将生产级硬件钱包用于个人交易而非独立设备。涉事验证者已被撤换,相关钱包完成轮换,签名设备后续均增加异常检测软件。该披露正值业界对其多签基础设施操作管控加强审查之际。此前链上研究人员曾发现生产级多签钱包出现与协议无关的交易活动,首席执行官后续说明这些交易源于已被移除的前任验证者的测试行为。
安全实践启示
操作安全漏洞可能演变为桥接基础设施的系统性风险。多签治理仍是关键攻击面,尤其当生产密钥与外部应用或个人活动产生交互时。
事件后LayerZero实施哪些改进?
其验证节点网络将不再支持单一验证器配置。默认设置正调整为至少需要五个验证节点,较小链也要求至少三个验证节点。协议同时开发基于Rust的第二验证客户端以提升多样性,并重构RPC架构以实现内外节点更精细的仲裁控制。治理方面计划通过开源多签工具将多签阈值从5中3提升至10中7,该系统支持签名者在本地哈希交易后再签名,降低非法交易插入风险。公司正在建设安全监控平台,帮助资产发行方配置安全参数并通过异常检测识别风险部署。
事件对LayerZero市场地位产生何种影响?
此次事件已影响其在跨链市场的竞争态势。Kelp DAO本周宣布将基础设施迁移至Chainlink的跨链协议,成为事件后首个脱离LayerZero的主要协议。另一协议随后也表示因安全顾虑,将超过70亿美元代币化比特币基础设施移出LayerZero。与此同时,事件后成立的资产恢复计划已筹集超3亿美元加密资产。LayerZero通过捐赠与借贷方式提供1万枚ETH,相关借贷协议因事件面临约1.24亿至2.3亿美元坏账风险。LayerZero表示待外部安全合作伙伴完成调查后将发布完整事件分析报告。
