KelpDAO 指责 LayerZero 造成了2.92 亿美元的损失,并计划在Chainlink上使用重新设计的跨链系统重新启动,该组织周二在 X 上宣布了这一消息。
Kelp DAO 在 X 上写道: “从 4 月 18 日的事件来看,很明显 LayerZero 自身的基础设施遭到了攻击,导致整个 DeFi 领域损失了 3 亿美元。来自 SEAL 911、Chainalysis 和其他主要领先安全研究机构的独立报告都指向了同一源头。”
今年4月,Kelp协议(一种允许用户质押以太坊并在不同区块链之间转移代币的协议)使用的跨链桥遭到攻击,导致约116,500枚基于以太坊的质押代币rsETH被盗。此次攻击与朝鲜的拉撒路组织有关。
Kelp 在 X 论坛上的另一篇文章中表示,LayerZero 的工作人员批准了与此次漏洞利用相关的配置,并且没有警告其存在安全风险。这种被称为“一对一验证器”的设置,依赖于单个实体来验证跨链交易。
Kelp 表示,此次攻击源于 LayerZero 基础设施遭到入侵,攻击者攻破了验证器网络的 RPC 节点,迫使系统依赖篡改的数据,从而允许虚假交易获得批准。
Kelp写道:“漏洞利用事件发生后,LayerZero宣布将不再为任何使用1-1 DVN配置的应用程序签名或认证消息。这一政策转变发生在数亿美元被盗之后,证实了LayerZero广泛使用的这种配置,而LayerZero Labs只是在漏洞出现后才做出更改。”
LayerZero 在 4 月份的一份声明中反驳了这一说法,称该漏洞仅限于 Kelp 的 rsETH 应用程序,并且是由于该应用程序使用了单验证器设置,而这与该公司推荐的多验证器模型相悖。
“这种说法与事实不符,”Kelp DAO 写道。“众所周知,这种一对一的安排并非 Kelp 独有。”
Kelp表示,此次部署遵循了LayerZero的文档和默认配置。该公司还指出,这种配置方式在整个生态系统中被广泛使用,并援引数据显示,很大一部分应用程序都依赖于类似的配置。
Kelp 表示,它正在将其rsETH系统迁移到 Chainlink 的跨链互操作性协议,在该协议中,交易必须由多个独立的验证者而不是单个验证者批准。
Chainlink首席商务官Johann Eid告诉Decrypt :“我们致力于与KelpDAO团队合作,提升rsETH的跨链安全性,并支持他们迁移到Chainlink CCIP。我们一直认为,DeFi要充分发挥其潜力,实现链上交易数万亿美元的目标,其生态系统需要高度安全的基础设施作为支撑。”
Kelp漏洞的影响已远超技术争议。与该漏洞相关的约7100万美元加密货币在Arbitrum网络上被冻结,引发了纽约联邦法院的法律诉讼。
Kelp DAO 写道:“生态系统中存在一些亟待解答的问题。我们正在确保 rsETH 的安全,并为此构建完善的基础设施,消除这些疑问。”
LayerZero尚未回复Decrypt的置评请求。
