KelpDAO 指責 LayerZero 造成了2.92 億美元的損失,並計劃在Chainlink上使用重新設計的跨鏈系統重新啟動,該組織週二在 X 上宣佈了這一消息。
Kelp DAO 在 X 上寫道: “從 4 月 18 日的事件來看,很明顯 LayerZero 自身的基礎設施遭到了攻擊,導致整個 DeFi 領域損失了 3 億美元。來自 SEAL 911、Chainalysis 和其他主要領先安全研究機構的獨立報告都指向了同一源頭。”
今年4月,Kelp協議(一種允許用戶質押以太坊並在不同區塊鏈之間轉移代幣的協議)使用的跨鏈橋遭到攻擊,導致約116,500枚基於以太坊的質押代幣rsETH被盜。此次攻擊與朝鮮的拉撒路組織有關。
Kelp 在 X 論壇上的另一篇文章中表示,LayerZero 的工作人員批准了與此次漏洞利用相關的配置,並且沒有警告其存在安全風險。這種被稱為“一對一驗證器”的設置,依賴於單個實體來驗證跨鏈交易。
Kelp 表示,此次攻擊源於 LayerZero 基礎設施遭到入侵,攻擊者攻破了驗證器網絡的 RPC 節點,迫使系統依賴篡改的數據,從而允許虛假交易獲得批准。
Kelp寫道:“漏洞利用事件發生後,LayerZero宣佈將不再為任何使用1-1 DVN配置的應用程序簽名或認證消息。這一政策轉變發生在數億美元被盜之後,證實了LayerZero廣泛使用的這種配置,而LayerZero Labs只是在漏洞出現後才做出更改。”
LayerZero 在 4 月份的一份聲明中反駁了這一說法,稱該漏洞僅限於 Kelp 的 rsETH 應用程序,並且是由於該應用程序使用了單驗證器設置,而這與該公司推薦的多驗證器模型相悖。
“這種說法與事實不符,”Kelp DAO 寫道。“眾所周知,這種一對一的安排並非 Kelp 獨有。”
Kelp表示,此次部署遵循了LayerZero的文檔和默認配置。該公司還指出,這種配置方式在整個生態系統中被廣泛使用,並援引數據顯示,很大一部分應用程序都依賴於類似的配置。
Kelp 表示,它正在將其rsETH系統遷移到 Chainlink 的跨鏈互操作性協議,在該協議中,交易必須由多個獨立的驗證者而不是單個驗證者批准。
Chainlink首席商務官Johann Eid告訴Decrypt :“我們致力於與KelpDAO團隊合作,提升rsETH的跨鏈安全性,並支持他們遷移到Chainlink CCIP。我們一直認為,DeFi要充分發揮其潛力,實現鏈上交易數萬億美元的目標,其生態系統需要高度安全的基礎設施作為支撐。”
Kelp漏洞的影響已遠超技術爭議。與該漏洞相關的約7100萬美元加密貨幣在Arbitrum網絡上被凍結,引發了紐約聯邦法院的法律訴訟。
Kelp DAO 寫道:“生態系統中存在一些亟待解答的問題。我們正在確保 rsETH 的安全,併為此構建完善的基礎設施,消除這些疑問。”
LayerZero尚未回覆Decrypt的置評請求。
