LayerZero 于美国时间周五晚些时候表示,它“犯了一个错误”,允许其自身的验证基础设施以易受攻击的配置来保护高价值的加密资产。此前几周,该公司一直指责开发商 Kelp DAO 应对一起与朝鲜攻击者有关的 2.92 亿美元的黑客攻击负责,这标志着该公司语气发生了显著转变。
在 LayerZero 和 Kelp 就 4 月份黑客事件的责任问题公开互相指责数周后,这一承认标志着双方立场发生了显著转变。LayerZero 最初将此次黑客事件定性为 Kelp 的应用程序级配置故障。
LayerZero在周五发表的一篇博客文章中写道:“首先,我要道一个迟来的歉。”
LayerZero 最初将责任归咎于 Kelp,认为该协议选择了一种风险极高的“1 对 1”配置,在这种配置下,只需要一个去中心化验证网络(DVN)来批准跨链转账,从而造成了单点故障。DVN 是基础设施的一部分,用于验证在区块链之间转移资产的交易是否合法。
该公司表示:“我们犯了一个错误,允许我们的DVN作为一对一DVN用于高价值交易。我们没有监管DVN所保障的内容,这造成了我们未能预见的风险。我们对此负全部责任。”
为了应对这种情况,LayerZero Labs表示,其DVN将不再支持1/1 DVN配置。此外,该博客还指出,“所有路径上的默认配置都将尽可能迁移到5/5,并且在任何只有3个DVN可用的链上,至少会迁移到3/3。”
跨链桥就像是连接原本独立的区块链网络的数字传输轨道,但长期以来一直是加密货币基础设施中最脆弱的部分之一。
LayerZero 坚称其底层协议并未遭到破坏,并重申开发人员最终负责配置他们自己的安全假设。
“LayerZero 协议未受影响,”该公司表示,并将此次攻击归因于对 LayerZero Labs DVN 使用的内部 RPC 基础设施的攻击,同时外部 RPC 提供商也遭受了分布式拒绝服务攻击。
此外,Layer Zero表示,三年半前,其多重签名账户的一位签名者使用其多重签名硬件钱包进行了一笔个人交易,意图将其资金用于自己的个人硬件钱包。该公司正在对此类行为采取行动,并表示:“这显然是不可接受的。”
“该签名者已从多重签名中移除,钱包已轮换,此后我们更新了签名设备的安全措施,在每个设备上添加了本地异常检测软件,并创建了一个名为 OneSig 的定制多重签名。”
包括Chainlink在内的竞争对手正在利用此次事件的余波,从那些重新考虑其安全提供商的协议中赢得业务。
Kelp 已经将其 rsETH 桥迁移到 Chainlink 的竞争对手跨链互操作性协议,而 Solv Protocol 本周表示,在进行新的安全审查后,它正在将价值超过 7 亿美元的代币化比特币基础设施从 LayerZero 迁移出去。
