LayerZero就其对4月18日黑客攻击事件后续处理方式的公开道歉。该事件导致价值约2.92亿镁的rsETH从Kelp DAO跨链桥提取。此举表明LayerZero的语气与其此前声称系统“按预期运行”的说法相比发生了显著转变。
LayerZero在博文中(该博文发布于其官方博客,后被X网站Chia)承认,过去几周沟通不畅。该公司表示,他们过于专注于撰写一份完整的报告,但应该从一开始就坦诚相待,保持清晰透明。
关于事件原因,LayerZero 表示,其验证网络使用的部分数据基础设施遭到了来自朝鲜的 Lazarus黑客组织的入侵。具体而言,内部“RPC 节点”的数据被篡改。与此同时,黑客对外部 RPC 提供商发起了 DDoS 攻击,迫使验证系统更加依赖被篡改的数据,从而“签署”了从未实际发生的交易。LayerZero 此前已将此次事件归咎于 Lazarus 的一个名为 TraderTraitor 的分支组织。
这份次中最引人注目的是LayerZero公开承认了责任,而此前他们一直回避这一点:他们不应该允许DVN(LayerZero的去中心化验证网络)成为高价值交易的“唯一验证者”。LayerZero表示,他们认为项目应该自行选择安全配置,但也承认在风险较高的情况下,让DVN以“一对一”(仅由一方验证)的方式运行是错误的。换句话说,他们没有充分监控DVN所保护的内容,制作了他们自己没有意识到的“漏洞”。
这一承认与 LayerZero 的最初声明相矛盾,当时他们几乎指责 Kelp DAO 选择“仅单方验证”配置,认为这是一个适得其反的选择。
Kelp DAO随后反驳称,LayerZero自身的文档和初始指南表明,项目集成时默认设置是单方验证。Kelp还引用了Dune的一项分析,该分析显示,在攻击发生时,运行在LayerZero上的近2665个场外交易应用程序(OApp)中,约有47%使用了相同的配置。
LayerZero表示,此次事件仅影响了一个应用程序,约占网络上所有应用程序的0.14%,以及通过LayerZero传输的资产总价值的0.36%左右。该公司还表示,自4月19日以来,已有超过90亿镁的资金继续通过该协议进行传输。
