LayerZero 就其处理 4 月 18 日那起导致约 2.92 亿美元 rsETH 从 Kelp DAO 的跨链桥被耗尽事件的后续影响,发表了公开道歉。该道歉标志着其此前的复盘文章在语气上的重大转变;当时的复盘将协议描述为“完全按预期运行”。
LayerZero 在周五发布的一篇博客文章中承认了一个关键的运维故障:“过去三周我们在沟通方面做得非常糟糕。我们本想在形式上追求完整性,提供一份详尽的复盘,但我们应该先以坦率的态度开头。”
最值得注意的是,该协议承认它不应该允许其去中心化验证者网络(Decentralized Verifier Network,DVN)作为高价值交易的唯一验证者。“我们认为开发者应当自行选择他们的安全配置,但我们犯了一个错误:允许我们的 DVN 充当高价值交易的 1/1 DVN,”公司写道。“我们没有监管我们的 DVN 正在保障什么,这就产生了一个风险,而我们根本没有看到。”
这相比 LayerZero 最初的事件声明是一次显著反转;后者将责任明确归咎于 Kelp DAO 的配置选择,并将 1-of-1 DVN 的设置描述为 Kelp 在违背指导的情况下所做的决定。
LayerZero 表示,其内部 RPC 节点(DVN 用来读取源链状态)被朝鲜的 Lazarus Group 入侵。攻击者在同时向 LayerZero 的外部 RPC 提供商发起 DDoS 攻击的情况下,向这些节点的数据源投毒,迫使 DVN 回退到被篡改的基础设施,并对从未实际发生的交易签了名。LayerZero 先前曾将该攻击归因于名为 TraderTraitor 的 Lazarus 子组织。
Kelp DAO 公开反驳 LayerZero 的最初归责,指出 LayerZero 自身的文档、快速入门指南以及开发者示例,作为单一验证者设置是平台默认入门推荐的证据。Kelp 引用的一份 Dune 分析发现:在遭受攻击时,约 2,665 个活跃 LayerZero OApp 合约中的 47% 使用的都是相同配置。
LayerZero 也承认影响范围有限:该漏洞影响了单一应用,约占网络上全部应用的 0.14%,并且约占使用 LayerZero 的资产价值的 0.36%。自 4 月 19 日以来,已有超过 90 亿美元的资金在该协议中跨链流动。
LayerZero 披露了一起此前未曾报道的运维安全事件。大约三年半前,LayerZero 的一个多签签名者使用其生产环境的硬件钱包执行了一笔个人交易,本意是使用一台单独的个人设备。LayerZero 表示,该签名者已从多签中移除,钱包已轮换;此后公司也已为每个签名设备添加异常检测软件。
这份披露正出现在外界对 LayerZero 多签签名者运维安全的另一轮独立且持续的审查之中。链上研究人员与安全领域人士,包括 Chainlink 社区联络 Zach Rynes,指出证据表明生产多签密钥被用于与之无关的 DEX 活动,其中包括看似在 Uniswap 上将某种模因币 McPepes 进行兑换。LayerZero 首席执行官 Bryan Pellegrino 表示,这些交易是由已被移除的前签名者进行的 OFT 测试。
LayerZero 概述了自漏洞发生以来已实施的多项变更:
在基础设施方面,LayerZero 计划使用 OneSig 将自身多签阈值从 3-of-5 提高到 7-of-10;OneSig 是公司去年推出的一个开源多签工具。OneSig 允许签名者在签名前先下载交易并在本地对其进行哈希,从而阻止后端插入未经授权的交易。LayerZero 还在构建一个名为 Console 的平台,供资产发行方配置并监控安全设置,并内置异常检测以标记有风险的配置。
这份道歉正发生在 LayerZero 的一个艰难时刻。在漏洞发生后的数周内,两大主要协议已将其跨链基础设施迁移到 Chainlink 的 CCIP。Kelp DAO 在本周早些时候宣布离开 LayerZero,成为自该黑客事件以来首个离开 LayerZero 的主要协议。Solv Protocol 随后跟进,宣布将从 LayerZero 转移超过 7 亿美元的代币化比特币,并指出安全方面的担忧。
与此同时,在漏洞发生后成立的 DeFi United 恢复倡议已筹集到超过 3 亿美元的 ETH 和稳定币。LayerZero 出资 10,000 ETH,其中分为向 Aave 提供的 5,000 ETH 捐赠和 5,000 ETH 贷款;Aave 预计将因该事件产生 1.24 亿美元到 2.30 亿美元的坏账。Arbitrum DAO 投票释放 30,766 枚被冻结的 ETH 用于恢复行动,而一名法官允许该转账继续进行,尽管北朝鲜恐怖主义受害者与债权人发出限制令通知。
LayerZero 表示,一旦其外部安全合作伙伴完成工作,将会发布一份官方复盘。
