關鍵要點:
- LayerZero 對其 DVN 配置中的一個關鍵漏洞承擔全部責任,該漏洞導致了最近對 Kelp DAO 的攻擊。
- 該協議正在終止所有 1/1 驗證者設置,現在將要求所有應用程序至少配備三到五個驗證者。
- 這起與拉撒路小組(Lazarus Group)有關的 4 月攻擊導致 Kelp DAO 損失 2.92 億美元,並在 Aave 上產生了約 1.9 億美元的壞賬。
返回
LayerZero 在 2.92 億美元攻擊事件後承認其 1/1 DVN 配置存在失誤
跨鏈消息傳遞協議 LayerZero 已公開承認在 4 月份導致 Kelp DAO 遭受 2.92 億美元攻擊的重大安全疏忽中負有責任,並承諾進行全網範圍的安全改革。
在詳細的事件分析中,LayerZero 高管對允許高價值應用程序在單驗證者配置下運行承擔了全部責任,這種設置產生了一個單點故障。「我們沒有監管我們的 DVN 正在保護什麼,這造成了一個我們根本沒能預見到的風險,」該公司表示。這標誌著其與最初溝通態度相比發生了重大轉變。
這起發生在 4 月 18 日的攻擊被廣泛歸咎於朝鮮的拉撒路小組(Lazarus Group),至今仍是 2026 年最大的 DeFi 安全漏洞。雖然 LayerZero 核心協議並未被破解,但攻擊者污染了 LayerZero Labs 自有的去中心化驗證網絡(DVN)所使用的數據源。這導致 Kelp DAO 的 117,132 枚 rsETH 被盜,其中一部分隨後被用作 Aave 借貸協議上的抵押品,產生了約 1.9 億美元的壞賬。
此事件的餘波迫使整個行業重新評估跨鏈橋的安全,以及開發者自主權與協議級保障之間的權衡。作為直接後果,Kelp DAO 宣布正在從 LayerZero 遷移到 Chainlink 的跨鏈互操作性協議(CCIP),並已在與 Aave 協調完成初步恢復步驟後,開始重新開放 rsETH 提款。
新的安全標準
LayerZero 立即採取行動消除其生態系統中的這一漏洞。該公司宣布,其 DVN 將不再支持任何項目的 1/1 設置。默認配置正在升級,要求多個驗證者——理想情況下為 5 個,在選項有限的情況下至少為 3 個。
Kelp DAO 證實已更新其剩餘的 LayerZero 橋接設置,要求 4 個獨立的證明者,並將區塊確認數從 42 個增加到 64 個。
此次攻擊也引發了更大規模的恢復努力。Aave 發起了一項名為「DeFi United」的倡議,籌集了超過 3 億美元的 ETH 以支持受影響的協議。然而,法律挑戰使得部分追回資金的使用變得複雜,因為一家美國法院對 Arbitrum 網絡上與攻擊者相關的 7200 萬美元凍結 ETH 下達了限制令。
LayerZero 表示,儘管發生了這起事件,自 4 月中旬以來已有超過 90 億美元的價值通過該協議安全傳輸。該公司目前正在推出新工具,包括基於 Rust 的 DVN 客戶端和增強版 Console 平台,以幫助項目管理配置並檢測異常,旨在通過默認執行更嚴格、更安全的標準來重建信任。
本文僅供參考,不構成投資建議。
