ETH要点
关于验证者配置的争议
4月18日发生的桥梁漏洞导致Kelp DAO通过其集成了LayerZero的基础设施损失了约2.92亿美元。网络犯罪分子提取了116,500枚rsETH代币,随后在Aave v3上利用这些代币获取了包装以太币贷款。Kelp DAO指控LayerZero批准了导致此次漏洞的单验证者配置。LayerZero反驳了这些指控,坚称Kelp是独立地从多DVN结构切换到了1-of-1的配置。该协议正在将rsETH迁移至Chainlink的跨链互操作性协议平台。
4月18日,DeFi平台Kelp DAO遭受了一次破坏性安全漏洞,恶意行为者通过其集成LayerZero的桥梁基础设施盗取了116,500枚rsETH代币,造成约2.92亿美元损失。在最初的盗窃之后,犯罪者将这些被盗代币在Aave v3的借贷协议中用作抵押品,以提取包装以太币。在Kelp能够冻结其智能合约之前,攻击者成功执行了另外两笔欺诈交易,总价值超过1亿美元。
LayerZero将此次攻击归咎于来自朝鲜的臭名昭著的Lazarus集团。据报道,威胁行为者获得了LayerZero Labs所使用的DVN的RPC节点列表的访问权限,成功渗透了两个节点,并将其操作软件替换为恶意代码。攻击者随后对未受损节点发起了分布式拒绝服务攻击,将网络流量重定向至受感染的基础设施。随后,被劫持的DVN验证了那些从未在区块链上合法发生的伪造交易。
这一安全事件引发了Kelp DAO与LayerZero之间关于可利用漏洞责任归属的激烈公开分歧。
LayerZero反驳指控
在LayerZero 4月19日的事件分析中,公司称该漏洞源于Kelp的桥梁使用了单一的分布式验证者网络,而非采用多个独立的验证源。LayerZero将这种方法描述为"直接违背"其安全建议。
Kelp DAO在周二以一份详细的备忘录反驳了这些说法。该协议声称LayerZero员工在两年半的时间里、跨越八次独立的集成咨询中审查了其基础设施配置,但从未指出单验证者架构存在安全隐患。Kelp提供了据称显示LayerZero代表认可该配置而未提出异议的Telegram通讯截图证据。
Kelp还引用了Dune Analytics的数据,表明在截至4月22日左右的90天期间,约2665个运行中的LayerZero合约中有47%采用了相同的1-of-1 DVN配置。这些合约的总市值超过45亿美元。
LayerZero的首席执行官通过X回应,称Kelp的许多说法"完全错误"。他坚称Kelp最初部署了推荐的多DVN默认配置,但随后手动修改为1-of-1设置。他承诺,来自独立安全组织的全面事件分析即将发布。
一位LayerZero代表在一份官方通讯中表示,几乎所有集成路径上的协议默认设置都采用多DVN架构。该代表解释说,模板代码中出现1-of-1配置的情况引用的是一个名为"DeadDVN"的功能,其设计目的是阻止消息并在部署前强制开发者建立正确的配置。LayerZero进一步声明,将停止为任何采用1-of-1配置的应用程序签署消息——这是一项在漏洞发生后立即实施的政策。
Kelp坚称是其内部安全团队发现并向LayerZero报告了该漏洞,这与LayerZero首先发现问题的说法相矛盾。
Kelp目前正在将rsETH从LayerZero的OFT标准迁移至使用Chainlink跨链互操作性协议的跨链代币标准。文档显示,至少在两个集成区块链网络——Dinari和Skale——上,LayerZero Labs DVN仍然是唯一指定的证明者。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注