LayerZero就其對4月18日黑客攻擊事件後續處理方式的公開道歉。該事件導致價值約2.92億鎂的rsETH從Kelp DAO跨鏈橋提取。此舉表明LayerZero的語氣與其此前聲稱系統“按預期運行”的說法相比發生了顯著轉變。
LayerZero在博文中(該博文發佈於其官方博客,後被X網站Chia)承認,過去幾周溝通不暢。該公司表示,他們過於專注於撰寫一份完整的報告,但應該從一開始就坦誠相待,保持清晰透明。
關於事件原因,LayerZero 表示,其驗證網絡使用的部分數據基礎設施遭到了來自朝鮮的 Lazarus黑客組織的入侵。具體而言,內部“RPC 節點”的數據被篡改。與此同時,黑客對外部 RPC 提供商發起了 DDoS 攻擊,迫使驗證系統更加依賴被篡改的數據,從而“簽署”了從未實際發生的交易。LayerZero 此前已將此次事件歸咎於 Lazarus 的一個名為 TraderTraitor 的分支組織。
這份次中最引人注目的是LayerZero公開承認了責任,而此前他們一直迴避這一點:他們不應該允許DVN(LayerZero的去中心化驗證網絡)成為高價值交易的“唯一驗證者”。LayerZero表示,他們認為項目應該自行選擇安全配置,但也承認在風險較高的情況下,讓DVN以“一對一”(僅由一方驗證)的方式運行是錯誤的。換句話說,他們沒有充分監控DVN所保護的內容,製作了他們自己沒有意識到的“漏洞”。
這一承認與 LayerZero 的最初聲明相矛盾,當時他們幾乎指責 Kelp DAO 選擇“僅單方驗證”配置,認為這是一個適得其反的選擇。
Kelp DAO隨後反駁稱,LayerZero自身的文檔和初始指南表明,項目集成時默認設置是單方驗證。Kelp還引用了Dune的一項分析,該分析顯示,在攻擊發生時,運行在LayerZero上的近2665個場外交易應用程序(OApp)中,約有47%使用了相同的配置。
LayerZero表示,此次事件僅影響了一個應用程序,約佔網絡上所有應用程序的0.14%,以及通過LayerZero傳輸的資產總價值的0.36%左右。該公司還表示,自4月19日以來,已有超過90億鎂的資金繼續通過該協議進行傳輸。
