KelpDAO指责LayerZero导致安全漏洞
KelpDAO指责LayerZero导致了一起2.92亿美元的安全漏洞,并计划在Chainlink上重新推出经过重新设计的跨链系统,该组织于周二在X平台上宣布。KelpDAO在X上表示:
“从4月18日的事件来看,显然LayerZero自身的基础设施遭到了利用,导致DeFi领域损失达3亿美元。”
独立报告来自SEAL 911、Chainalysis以及其他主要安全研究机构,均指向同一来源。
攻击事件与拉撒路集团的关联
在4月,一次攻击从Kelp使用的跨链桥中窃取了约116,500个rsETH(基于以太坊的质押代币)。该漏洞与朝鲜的拉撒路集团有关。在X的另一条帖子中,Kelp表示LayerZero的工作人员批准了与该漏洞相关的配置,并未警告其存在安全风险。
该设置被称为1对1验证器,依赖于单一实体来验证跨链交易。
LayerZero的回应与Kelp的反驳
Kelp表示,攻击源于LayerZero基础设施的漏洞,攻击者入侵了验证器网络的RPC节点,迫使系统依赖被篡改的数据,从而允许虚假交易被批准。Kelp写道:
“在漏洞发生后,LayerZero宣布将不再为任何使用1-1 DVN配置的应用程序签名或证明消息。这一政策转变是在数亿美元被利用后做出的,确认了这是一个广泛使用的LayerZero配置,而LayerZero Labs仅在其失败后才进行了更改。”
在4月的一份声明中,LayerZero对此说法表示异议,称该漏洞仅限于Kelp的rsETH应用程序,且是由于其使用了与公司推荐的多验证器模型相悖的单验证器设置所致。KelpDAO回应称:
“这种表述与事实不符。众所周知,这种1对1的设置并非Kelp独有。”
Kelp的迁移计划与Chainlink的支持
Kelp表示,它遵循了LayerZero的文档和默认配置。该公司还表示,这种设置在生态系统中被广泛使用,并指出数据显示,许多应用程序依赖于类似的配置。Kelp表示,它正在将其rsETH系统迁移到Chainlink的跨链互操作协议,在该协议中,交易必须由多个独立验证者批准,而不是单一验证器。
Chainlink首席商务官Johann Eid对Decrypt表示:
“我们致力于与KelpDAO团队合作,提升rsETH的跨链安全性,并支持他们迁移到Chainlink CCIP。我们一直认为,为了让DeFi实现其将数万亿资产上链的全部潜力,生态系统需要建立在高度安全的基础设施之上。”
法律争斗与生态系统的未来
Kelp的漏洞影响超出了技术争议。与该漏洞相关的约7100万美元的加密货币在Arbitrum网络上被冻结,引发了在纽约联邦法院的法律争斗。KelpDAO表示:
“生态系统有许多问题需要回答。我们正在确保rsETH由不会留下这些问题的基础设施进行保护。”
LayerZero尚未对Decrypt的评论请求作出回应。
