摘要:LayerZero Labs就Lazarus Group攻击事件发布致歉信,承认内部多签使用不当及沟通不一致问题。尽管协议本身未受影响,但其对合作伙伴的责任推诿引发行业震荡,多个项目已迁移至Chainlink。公司承诺改进安全架构并捐赠ETH支持救援计划。
币圈界报道:
LayerZero公开致歉:承认运营失误与多签管理缺陷
LayerZero Labs于2026年5月8日发布一封正式致歉信,回应近期因Lazarus Group针对KelpDAO的网络攻击所引发的信任危机。尽管核心协议未受波及,但内部系统暴露了长期存在的治理与安全短板,促使公司首次公开承认过往在操作流程上的重大疏漏。
多签权限被用于非授权交易,历史漏洞再被披露
2026年4月19日,攻击者入侵了LayerZero Labs的内部RPC节点,这些节点隶属于其DVN网络。攻击者篡改了可信数据源,并对第三方外部RPC服务实施分布式拒绝服务攻击。经核实,此次攻击仅影响单一应用,占全平台应用总量的0.14%,桥接资产损失占比为0.36%。
该漏洞直接导致约3亿美元rsETH被盗,目标为KelpDAO。在致歉信中,公司进一步披露三年半前曾发生一起严重违规事件:一名签名者将本应用于多签审批的硬件钱包,私自接入个人地址,在Uniswap上执行了McPepes迷因币的交易。
涉事签名者已被撤换,相关密钥已重置,并已建立更严格的访问控制机制以杜绝类似情况。然而,这一事实与联合创始人Bryan Pellegrino此前声称“标准OFT测试”无关联的说法形成明显矛盾。部分社区成员指出,该迷因币在多段时期内持续出现由同一多签钱包发起的多笔交易,质疑声明真实性。
LayerZero澄清,其多签机制仅负责端点管理,包括链的增删与默认配置更新,不涉及具体交易执行或资金控制。
敦促开发者强化安全基线,重构信任模型
公司重申其设计初衷是消除传统跨链桥中的单点故障风险,强调每个应用可独立构建端到端安全性,无需依赖LayerZero Labs的中心化判断。
为提升整体生态韧性,建议开发者采取以下措施:锁定所有配置参数,避免使用由中心方控制的默认设置;提高各链区块确认数量以降低重组可能性;在配置DVN时至少引入两方独立验证者(推荐三至五方);并鼓励运行专属的必要节点。
同时,公司明确指出:依赖单一验证者的默认应用和DVN,其信任基础完全建立在LayerZero多签之上;而Gas中继服务(如Essence、LayerZero执行器)仅影响网络活性,不影响安全性。
事件后,1/1配置的DVN已停止支持,路径默认设置已升级为5/5或3/3模式。此外,团队正基于Rust语言开发新一代DVN客户端,以增强代码安全性与可审计性。
跨链安全信任危机蔓延,生态格局面临重塑
LayerZero最初试图将责任归于合作方的做法迅速引发业界反弹。作为应对,KelpDAO与Solv Protocol已全面切换至Chainlink网络,而Beefy、Ethena、BitGo、Lombard等众多项目亦启动集成方案评估程序。
市场担忧将导致跨链交易量下滑、Stargate收益减少以及ZRO代币回购计划受阻。在3亿美元损失发生后,未能主动担责的行为加剧了信任崩塌,迫使关键参与者加速迁移。
为弥补影响,LayerZero Labs宣布向DeFi United救援计划捐赠5000枚ETH,另向Aave流动性池追加5000枚ETH。尽管如此,事件仍推动行业对跨链协议安全性的深层反思。公司承诺未来将多签阈值调整为7/10的OneSig机制,以提升决策冗余。
尽管坚持认为其协议仍是高安全、大规模交易的核心基础设施,但未来数周内,开发者动向与生态联盟走向,将成为衡量其修复能力的关键指标。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。