LayerZero 就 Kelp DAO 2.92 億美元被盜案承認責任

【CoinDesk】LayerZero 周五（美國時間）深夜發聲，承認在保護高價值加密資產時「犯了錯」，容許自家驗證基建在脆弱設定下運作。Kelp DAO 早前遭指與北韓黑客有關的攻擊，損失達 2.92 億美元。這次表態被視為 LayerZero 立場轉變；過去數周，LayerZero 與 Kelp 之間多次隔空互相指責，LayerZero 起初將 4 月事故歸因於 Kelp 應用層的配置問題。 LayerZero 在周五發表的網誌中寫道：「首先，我想就延誤了的道歉致歉。」 公司早前指 Kelp 選用極高風險的「1 對 1」配置，即跨鏈轉帳只需一個去中心化驗證網絡（DVN）批准，形成單點故障。DVN 是用於核實跨鏈資產轉移交易合法性的基建之一。 LayerZero 其後承認：「我們犯了錯，容許自家 DVN 以 1 對 1 形式用於高價值交易。我們沒有規管 DVN 所保護的內容，造成我們未有預見的風險。我們對此負全責。」 LayerZero Labs 表示，旗下 DVN 將不再支援 1/1 DVN 配置；同時將盡可能把所有路徑的預設配置遷移至 5/5。若某些鏈上僅有三個 DVN 可用，至少會遷移至 3/3。 跨鏈橋如同連接原本獨立區塊鏈網絡的「數碼軌道」，但一直以來都是加密基建中最易受攻擊的環節之一。LayerZero 強調，其底層協議並未遭入侵，並重申開發者最終仍須為自身安全假設與配置負責。 公司稱，LayerZero 協議本身未受影響，事件源於針對 LayerZero Labs DVN 所使用的內部 RPC 基建的攻擊；外部 RPC 供應商亦遭受分散式拒絕服務（DDoS）攻擊。 LayerZero 同時披露，約三年半前，其多重簽名（multisig）帳戶其中一名簽署人曾用 multisig 硬件錢包發起個人交易，意圖把資金轉至其個人硬件錢包。公司稱此舉「明顯不可接受」，已將該簽署人移出多簽、完成錢包輪換，並在各裝置加入本地異常偵測軟件等加強措施，另建立名為 OneSig 的自訂多簽方案。 事件後續亦引發市場搶客。包括 Chainlink 在內的競爭對手正趁勢爭取重新評估安全供應商的協議客戶。Kelp DAO 已透過 rsETH 橋轉向採用 Chainlink 的競品跨鏈互操作協議；Solv Protocol 本周亦表示，在完成最新安全審計後，正把逾 7 億美元的代幣化比特幣基建自 LayerZero 遷移出去。