文章详情

2026-05-10 12:25:22

XM交易:LayerZero就Kelp DAO漏洞利用事件的响应公开道歉,承认单验证器设置存在缺陷。

币界网报道:

LayerZero周五就其处理此次事件后续影响的方式发表了公开道歉。4月18日的漏洞利用这次事件导致 海带 DAO的跨链桥损失了约 2.92 亿美元的 rsETH,这标志着其早前的总结报告语气发生了显著变化,该报告称该协议“完全按照预期运行”。

LayerZero在声明中写道:“过去三周,我们在沟通方面做得非常糟糕。”博客文章也转载到 X。“我们想优先考虑完整性,进行全面的事后分析,但我们应该一开始就直截了当地说明情况。”

该协议称,其内部RPC节点(其去中心化验证网络(DVN)依赖这些节点读取源链状态)遭到朝鲜拉撒路组织(Lazarus Group)的攻击。攻击者篡改了这些节点的数据源,同时对LayerZero的外部RPC提供商发起DDoS攻击,迫使DVN切换到受损的基础设施,并对从未实际发生的交易进行签名。LayerZero此前已将此次攻击归咎于拉撒路组织旗下名为TraderTraitor的子组织。

该声明承认了LayerZero此前一直否认的一点:它不应该允许其分布式验证网络(DVN)作为高价值交易的唯一验证者。“我们认为开发者应该自行选择安全配置,但我们犯了一个错误,允许我们的DVN作为高价值交易的唯一验证者,”该公司写道。“我们没有监管DVN所保护的内容,这造成了我们当时没有意识到的风险。”

这种表述方式代表着一项重大让步。LayerZero 最初的事件声明将责任完全归咎于 Kelp DAO 的配置选择,称 1 对 1 DVN 设置是 Kelp 违背指导原则做出的决定。

Kelp DAO 公开否认了这一说法。Kelp引用LayerZero自身的文档、快速入门指南和开发者示例作为证据,表明单验证器设置是该平台的默认入门建议。Dune的一项分析也发现:在约 2,665 份活跃的 LayerZero OApp 合约中,有 47% 的合约属于此类。攻击发生时,它们运行的是相同的配置。

LayerZero表示,此次漏洞仅影响了一个应用程序,约占网络上应用程序总数的0.14%,以及使用LayerZero协议的资产价值的0.36%左右。该公司还补充说,自4月19日以来,已有超过90亿美元的资金通过该协议进行转移。

多重签名人披露

该博客文章还披露了一起此前未公开的运营安全事件。大约三年半前,LayerZero 的一位多重签名用户使用其生产硬件钱包执行了一笔个人交易,而他原本打算使用另一台个人设备进行交易。LayerZero 表示,该签名用户已被从多重签名账户中移除,钱包也进行了轮换,并且公司此后在每个签名设备上都添加了异常检测软件。

此次披露正值LayerZero多重签名器的运行安全性受到持续审查之际。包括Chainlink社区联络人Zach Rynes在内的链上研究人员和安全人士此前已对此进行过审查。标记证据生产环境中的多重签名密钥被用于无关的去中心化交易所(DEX)活动,包括疑似在Uniswap上兑换了网络迷因币McPepes。LayerZero首席执行官Bryan Pellegrino说这些交易是 OFT 测试的一部分,由已被移除的前签署人进行测试。

LayerZero在迁移过程中计划进行变更

LayerZero概述了自漏洞利用以来所做的一系列更改。LayerZero Labs DVN不再支持1/1 DVN配置。所有路径的默认设置正在迁移,尽可能要求至少五个验证者,在只有三个DVN可用的链上,最低要求为三个验证者。该公司还在构建第二个用Rust编写的DVN客户端,以实现客户端的多样性,并重新配置了其RPC设置,以便对内部和外部节点提供商进行更精细的仲裁控制。

在基础设施方面,LayerZero表示计划使用开源多重签名工具OneSig,将自身的多重签名阈值从5个签名中的3个提高到10个签名中的7个。该公司去年推出了OneSig 允许签名者在签名前下载交易并在本地进行哈希处理,从而防止后端插入未经授权的交易。LayerZero 还表示,他们正在构建一个名为 Console 的平台,供资产发行方配置和监控安全设置,该平台内置异常检测功能,用于标记风险配置。

LayerZero的道歉来得正是时候。自漏洞事件发生以来的几周内,已有两大协议将其跨链基础设施迁移到了Chainlink的CCIP。Kelp DAO宣布退出本周早些时候,它成为自黑客攻击事件以来第一个离开 LayerZero 的主要协议。遵循 Solv 协议并宣布将把价值超过 7 亿美元的代币化比特币从 LayerZero 转移出去,理由是安全问题。

与此同时,DeFi United 复苏计划在这次漏洞事件发生后成立的LayerZero已筹集了超过3亿美元的以太坊和稳定币。LayerZero捐赠了1万枚以太坊,其中5000枚是捐赠,另外5000枚是借给Aave的贷款。Aave因该事件面临约1.24亿美元至2.3亿美元的坏账。Arbitrum DAO 投票周五,一名法官裁定,将30,766个被冻结的以太坊释放到恢复工作中,并宣布释放这些以太坊用于恢复工作。允许转账继续进行尽管限制令来自朝鲜恐怖主义受害者和债权人。

LayerZero表示,待其外部安全合作伙伴完成工作后,将进行正式的事故调查。