关键要点:
- LayerZero 对其 DVN 配置中的一个关键漏洞承担全部责任,该漏洞导致了最近对 Kelp DAO 的攻击。
- 该协议正在终止所有 1/1 验证者设置,现在将要求所有应用程序至少配备三到五个验证者。
- 这起与拉撒路小组(Lazarus Group)有关的 4 月攻击导致 Kelp DAO 损失 2.92 亿美元,并在 Aave 上产生了约 1.9 亿美元的坏账。
返回
LayerZero 在 2.92 亿美元攻击事件后承认其 1/1 DVN 配置存在失误
跨链消息传递协议 LayerZero 已公开承认在 4 月份导致 Kelp DAO 遭受 2.92 亿美元攻击的重大安全疏忽中负有责任,并承诺进行全网范围的安全改革。
在详细的事件分析中,LayerZero 高管对允许高价值应用程序在单验证者配置下运行承担了全部责任,这种设置产生了一个单点故障。“我们没有监管我们的 DVN 正在保护什么,这造成了一个我们根本没能预见到的风险,”该公司表示。这标志着其与最初沟通态度相比发生了重大转变。
这起发生在 4 月 18 日的攻击被广泛归咎于朝鲜的拉撒路小组(Lazarus Group),至今仍是 2026 年最大的 DeFi 安全漏洞。虽然 LayerZero 核心协议并未被破解,但攻击者污染了 LayerZero Labs 自有的去中心化验证网络(DVN)所使用的数据源。这导致 Kelp DAO 的 117,132 枚 rsETH 被盗,其中一部分随后被用作 Aave 借贷协议上的抵押品,产生了约 1.9 亿美元的坏账。
此事件的余波迫使整个行业重新评估跨链桥的安全,以及开发者自主权与协议级保障之间的权衡。作为直接后果,Kelp DAO 宣布正在从 LayerZero 迁移到 Chainlink 的跨链互操作性协议(CCIP),并已在与 Aave 协调完成初步恢复步骤后,开始重新开放 rsETH 提款。
新的安全标准
LayerZero 立即采取行动消除其生态系统中的这一漏洞。该公司宣布,其 DVN 将不再支持任何项目的 1/1 设置。默认配置正在升级,要求多个验证者——理想情况下为 5 个,在选项有限的情况下至少为 3 个。
Kelp DAO 证实已更新其剩余的 LayerZero 桥接设置,要求 4 个独立的证明者,并将区块确认数从 42 个增加到 64 个。
此次攻击也引发了更大规模的恢复努力。Aave 发起了一项名为“DeFi United”的倡议,筹集了超过 3 亿美元的 ETH 以支持受影响的协议。然而,法律挑战使得部分追回资金的使用变得复杂,因为一家美国法院对 Arbitrum 网络上与攻击者相关的 7200 万美元冻结 ETH 下达了限制令。
LayerZero 表示,尽管发生了这起事件,自 4 月中旬以来已有超过 90 亿美元的价值通过该协议安全传输。该公司目前正在推出新工具,包括基于 Rust 的 DVN 客户端和增强版 Console 平台,以帮助项目管理配置并检测异常,旨在通过默认执行更严格、更安全的标准来重建信任。
本文仅供参考,不构成投资建议。
