摘要:LayerZero就Kelp DAO跨链桥2.92亿美元被盗事件发布声明,承认沟通失误与安全配置缺陷,披露多签操作隐患并宣布多项技术升级。事件已导致主要协议迁移,市场信任面临严峻考验。
币圈界报道:
LayerZero就跨链桥巨额失窃事件作出全面回应
针对4月18日发生的Kelp DAO跨链桥约2.92亿美元rsETH被窃事件,LayerZero于周五发布公开信,首次承认其初期“协议完全按设计运行”的说法存在误导,并对过去三周的沟通策略进行深刻检讨。公司表示,原计划优先提交完整事后分析报告,但应更早以清晰直接的方式向社区通报实情。
攻击根源归因于朝鲜黑客组织及系统性配置缺陷
协议明确指出,攻击者为朝鲜关联的Lazarus组织,通过入侵去中心化验证节点网络中的内部RPC节点,并对第三方供应商实施分布式拒绝服务攻击,致使验证系统被迫依赖已被污染的基础设施,从而批准了伪造的跨链交易。此外,公司承认允许高价值交易仅由单一验证节点确认是一项严重错误,即便开发者可自主选择配置,此类设计仍构成重大安全隐患。
单节点验证模式为何成为安全盲区?
此次声明标志着其立场的重大调整。此前曾将责任归于Kelp DAO采用单验证器架构,但后者反驳称官方文档和部署指引均默认推荐该配置。据第三方数据统计,攻击发生时活跃应用中近半数(47%)使用相同模式。这一现象暴露了跨链协议在默认安全设置上的普遍薄弱环节——尽管强调模块化选择,开发者往往依赖预设模板,缺乏深度安全评估。公司强调,本次事件仅影响单一应用,所涉资产占协议总桥接价值的0.36%。
安全配置的深层风险警示
跨链系统的整体安全性取决于其默认行为。若允许高价值操作依赖单一验证节点,将形成集中化风险点,可能波及整个生态体系。
另披露三年前未公开的操作安全事件
LayerZero还透露一起约三年半前未对外披露的事故:一名多签验证者误将其生产级硬件钱包用于个人交易,而非专用设备。涉事成员已被撤换,相关密钥已完成轮换,后续所有签名设备均已部署异常行为检测机制。该披露正值行业对其多签治理流程加强审查之际。此前链上研究发现生产钱包出现非协议相关交易,首席执行官解释为前任验证者遗留的测试活动。
人为操作风险如何演变为系统威胁?
管理层面的安全疏漏可能转化为跨链基础设施的结构性风险。多签治理机制仍是核心攻击入口,尤其当生产密钥与外部用途或个人行为产生交叉时。
技术架构与治理机制的全面升级方案
为防止类似事件重演,协议将彻底禁用单一验证器配置。新默认设置要求主链至少五个验证节点参与,小规模链也需不少于三个。同时,正在开发基于Rust语言的第二验证客户端以增强实现多样性,并重构RPC架构,实现内外部节点间更精细的权限仲裁。治理层面计划开源多签工具,将阈值从5中3提升至10中7,支持签名者本地哈希交易后再签名,显著降低恶意交易插入概率。此外,正构建统一安全监控平台,助力资产发行方动态设定安全参数并实时识别异常部署。
事件对跨链生态格局产生的深远影响
此次事件已改变跨链市场的竞争格局。Kelp DAO本周宣布迁移至Chainlink跨链协议,成为首个脱离LayerZero的主要项目。另一主流协议亦因安全担忧,决定将超70亿美元代币化比特币资产转移出当前网络。与此同时,由多方联合发起的资产恢复基金已筹集逾3亿美元加密资产。LayerZero通过捐赠与借贷方式提供1万枚ETH,但相关借贷协议预计将面临1.24亿至2.3亿美元坏账压力。公司表示,待独立安全团队完成调查后,将发布完整的事件复盘报告。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。