资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
海藻桥事件:从技术故障到跨链安全的大考
近三周前,KelpDAO跨链桥漏洞事件从一场技术故障开始,迅速演变为对去中心化金融领域跨链安全、协议默认设置及责任归属的广泛考验。4月18日,疑似与朝鲜 Lazarus 黑客组织有关的攻击者利用由LayerZero提供支持的Omnichain同质化代币桥接通道,对KelpDAO的rsETH发起攻击,导致约11.65万枚rsETH被盗,损失接近2.92亿美元。
事件核心问题在于单验证者架构。KelpDAO的跨链桥采用“1-of-1”去中心化验证网络配置,意味着单一验证者即可批准高价值的跨链交易。批评者指出,这种结构形成了单点故障风险。LayerZero事后声明其协议本身未被攻破,团队在公告中解释,其内部RPC服务器遭到Lazarus组织攻击并篡改了数据源,而外部RPC提供商同时遭遇了DDoS攻击。
LayerZero承认沟通与配置失误
LayerZero在事件报告中首先致歉,承认漏洞发生后的三周内沟通不足。团队表示虽等待完整的事后分析报告,但本应更早进行直接说明。公司称受影响应用仅占其平台应用总数的0.14%,涉及资产价值约占LayerZero总流通价值的0.36%,并强调自4月19日后已有超过90亿美元资产通过其协议安全转移。
然而LayerZero仍承认一个关键失误:允许其去中心化验证网络对高价值交易采用单验证者模式。团队强调开发者应自主选择安全设置,但承认未对其验证网络的安全配置进行充分监控。公司宣布将不再支持“1-of-1”验证配置,正在推动默认验证设置向“5-of-5”模式过渡,在仅支持三个验证网络的链上则要求至少达到“3-of-3”标准。
KelpDAO转向Chainlink生态
KelpDAO现已转向采用Chainlink的跨链互操作协议,成为漏洞事件后首个脱离LayerZero的主要协议。分析人士指出,目前总锁仓价值约20亿美元的协议群正在从LayerZero迁移至Chainlink,其中包括锁仓价值约15亿美元的KelpDAO、6亿美元的SolvProtocol及2亿美元的其他协议。
Chainlink的跨链协议采用去中心化预言机网络,要求至少16个独立节点运营商验证跨链交易。KelpDAO表示此举直接解决了攻击事件中暴露的架构缺陷。rsETH代币也将采用Chainlink的跨链代币标准,该基础设施已支持超过30万亿美元的跨链交易价值。
迁移背后涉及责任归属争议。LayerZero称曾警示单验证者模式风险,而KelpDAO及其他观察者指出该配置曾是LayerZero默认部署路径的一部分。相关分析显示,攻击发生时约2665个LayerZero应用中约有47%采用相同的单验证者配置。
行业联动与安全升级
事件发生后,Aave、KelpDAO、LayerZero等组成DeFi联合组织以恢复rsETH储备。LayerZero贡献了约1万枚ETH,其中5000枚为捐赠款,5000枚为提供给Aave的贷款,整个恢复计划已筹集超3亿美元加密资产。
恢复进程因Arbitrum安全委员会冻结与漏洞相关的30766枚ETH变得复杂。对朝鲜提出恐怖主义相关索赔的原告方试图扣押这些资金,主张其可能与Lazarus组织有关。Aave已提交紧急动议要求释放资金给受影响用户。
LayerZero同时披露了涉及多签签署人的内部事件,称三年半前某签署人误将多签硬件钱包用于个人交易。该签署人已被移除权限,相关钱包完成轮换并更新签署流程。公司已开发定制化多签系统OneSig以提升跨链签名安全,计划在可用场景中将多签阈值从“3-of-5”提升至“7-of-10”。
LayerZero正在构建Console平台,允许发行方配置、部署及管理资产发行与安全设置。该平台将包含对未知验证网络、不安全设置、所有权变更、区块确认更改及默认配置使用的风险预警功能。
此次事件已超越单一跨链桥故障的范畴,成为关于开发者默认设置、验证机制设计、RPC安全性、DAO恢复机制以及跨链系统能否在不依赖潜在脆弱假设的前提下保护高价值资产的深刻案例。
