LayerZero 於美國時間週五晚些時候表示,它“犯了一個錯誤”,允許其自身的驗證基礎設施以易受攻擊的配置來保護高價值的加密資產。此前幾周,該公司一直指責開發商 Kelp DAO 應對一起與朝鮮攻擊者有關的 2.92 億美元的黑客攻擊負責,這標誌著該公司語氣發生了顯著轉變。
在 LayerZero 和 Kelp 就 4 月份黑客事件的責任問題公開互相指責數週後,這一承認標誌著雙方立場發生了顯著轉變。LayerZero 最初將此次黑客事件定性為 Kelp 的應用程序級配置故障。
LayerZero在週五發表的一篇博客文章中寫道:“首先,我要道一個遲來的歉。”
LayerZero 最初將責任歸咎於 Kelp,認為該協議選擇了一種風險極高的“1 對 1”配置,在這種配置下,只需要一個去中心化驗證網絡(DVN)來批准跨鏈轉賬,從而造成了單點故障。DVN 是基礎設施的一部分,用於驗證在區塊鏈之間轉移資產的交易是否合法。
該公司表示:“我們犯了一個錯誤,允許我們的DVN作為一對一DVN用於高價值交易。我們沒有監管DVN所保障的內容,這造成了我們未能預見的風險。我們對此負全部責任。”
為了應對這種情況,LayerZero Labs表示,其DVN將不再支持1/1 DVN配置。此外,該博客還指出,“所有路徑上的默認配置都將盡可能遷移到5/5,並且在任何只有3個DVN可用的鏈上,至少會遷移到3/3。”
跨鏈橋就像是連接原本獨立的區塊鏈網絡的數字傳輸軌道,但長期以來一直是加密貨幣基礎設施中最脆弱的部分之一。
LayerZero 堅稱其底層協議並未遭到破壞,並重申開發人員最終負責配置他們自己的安全假設。
“LayerZero 協議未受影響,”該公司表示,並將此次攻擊歸因於對 LayerZero Labs DVN 使用的內部 RPC 基礎設施的攻擊,同時外部 RPC 提供商也遭受了分佈式拒絕服務攻擊。
此外,Layer Zero表示,三年半前,其多重簽名賬戶的一位簽名者使用其多重簽名硬件錢包進行了一筆個人交易,意圖將其資金用於自己的個人硬件錢包。該公司正在對此類行為採取行動,並表示:“這顯然是不可接受的。”
“該簽名者已從多重簽名中移除,錢包已輪換,此後我們更新了簽名設備的安全措施,在每個設備上添加了本地異常檢測軟件,並創建了一個名為 OneSig 的定製多重簽名。”
包括Chainlink在內的競爭對手正在利用此次事件的餘波,從那些重新考慮其安全提供商的協議中贏得業務。
Kelp 已經將其 rsETH 橋遷移到 Chainlink 的競爭對手跨鏈互操作性協議,而 Solv Protocol 本週表示,在進行新的安全審查後,它正在將價值超過 7 億美元的代幣化比特幣基礎設施從 LayerZero 遷移出去。
