去中心化金融(DeFi)总锁仓量(TVL)追踪平台DefiLlama的创始人0xngmi在社交媒体平台X上指出,Lido的预言机多重签名钱包相关地址之一发生了安全漏洞。
攻击者从被入侵的地址中提取了大约1.4个ETH,这一行为暴露了未经授权的访问。鉴于此事件,有人提议在多重签名钱包中持有少量易追踪的代币,可以作为基本的早期预警机制,潜在地标示任何未经授权的活动。
黑客设法入侵了Lido预言机多重签名的一个地址,然后通过提取那里仅有的1.4个ETH暴露了自己 https://t.co/Bd8eW1flem
— 0xngmi (@0xngmi) 2025年5月11日
在5月10日,Lido报告称由Chorus One运营的一个预言机地址被入侵,其ETH余额已被提取。这一事件是在Lido贡献者调查低余额警报后浮出水面,随后发现了与Chorus One运营的Lido预言机相关的密钥存在异常活动。这个自2021年创建以来一直在使用的密钥在一夜之间被清空。尽管尚未确定breach的确切原因,但初步评估表明,这可能是由过去的私钥泄露造成的,而非正在进行的基础设施故障。
在发现后,Lido贡献者联系了Chorus One以确认情况,并开始正式调查。
作为对此事件的回应,Lido DAO提议紧急轮换在多个关键合约中使用的被入侵预言机密钥,包括会计预言机的HashConsensus组件、验证者退出总线预言机和CS费用预言机。目前正在就此提案进行社区投票,并将持续到5月16日。
据Lido称,质押协议仍然安全且完全可操作。未观察到对用户资金或更广泛系统的影响。需要至少五个参与者中的五个达成法定人数的预言机架构仍然完整。所有其他预言机节点已被检查,未显示任何入侵迹象,也没有证据表明存在影响Chorus One的更广泛安全问题。
Lido协议通过预言机基础设施增强流动性质押,实现安全灵活的资产管理
Lido协议允许参与者质押数字资产,无需锁定其持有资产或运行自己的验证者节点。作为回报,用户获得代表其质押资产的流动性质押代币,这些代币随时间累积质押奖励。这些代币可在去中心化金融生态系统中用于借贷、交易或抵押,在原始资产继续质押的同时提供灵活性。
Lido架构的关键组件是其预言机系统,在维护以太坊共识层和执行层之间的数据准确性方面发挥核心作用。该系统包括链上智能合约和由选定实体管理的链下操作。在相关智能合约中,会计预言机从链下来源收集验证者余额、运营指标和资金库资金的输入,支持余额更新、提款和奖励分配等功能。验证者退出总线组件跟踪与自愿退出的验证者相关的数据,帮助协调过渡和提款流程。
Lido生态系统中的每个预言机运营商都分配有唯一的以太坊地址,授予向这些合约提交数据的能力。这些输入对于在质押基础设施中保持最新和安全的运营至关重要。
本文最初发表于元宇宙邮报。
