Layerzero披露了一起与价值2.92亿美元的KelpDAO黑客攻击相关的RPC中毒事件

Layerzero Labs 就应对 Lazarus Group 安全漏洞事件致歉

针对涉及Lazarus集团的安全漏洞事件，Layerzero Labs因三周未发布任何公告而发表了坦诚的致歉声明。根据官方更新，攻击者篡改了Layerzero Labs去中心化验证网络（DVN）所使用的内部远程过程调用（RPC）的“可信数据源”。

此次高明攻击恰逢针对该公司外部 RPC 提供商的分布式拒绝服务（DDoS）攻击。报告称，事件影响范围仅限于生态系统中的一小部分。Layerzero 指出，该事件仅影响了一个应用程序，该应用占总应用数量的 0.14%，占协议上锁定总价值的 0.36%。

团队详细说明，自4月19日起，他们一直与外部安全合作伙伴合作，以完成一份全面的事故分析报告。团队进一步承认，允许其DVN作为高价值交易的唯一验证者存在重大疏漏。Layerzero还承认，他们未能监管DVN所保护的内容，从而造成了“单点故障”风险。

为纠正这一问题，该实验室目前正向开发者普及安全配置知识，并将不再支持 1/1 DVN 配置。此次披露还涉及一起涉及多签签署人的离奇安全疏漏。三年前半，某人误将多签硬件钱包用于个人交易。

该签名人已被移除，公司已实施了一套名为“Onesig”的定制多签解决方案。Onesig 通过在用户端本地对交易进行哈希和默克尔树化处理，旨在防止未经授权的后端交易。Layerzero 指出，在所有支持 Onesig 的链上，其多签阈值也将从 3/5 提高至 7/10。

该公司解释称，此举是其为增强协议抵御未来国家支持型威胁能力而采取的更广泛举措的一部分。尽管发生了此次安全事件，该协议仍强调自4月19日以来，网络上的交易量已超过90亿美元。Layerzero强调，其构建理念是应用程序应端到端地掌控自身安全，以避免系统性风险。

根据博客文章，该架构迄今已促成总额超过2600亿美元的转账。展望未来，Layerzero建议开发者固定其配置，而非依赖默认设置。团队还建议将区块确认数设置在几乎不可能发生重组的水平。

为促进客户端多样性，团队目前正在开发一个基于Rust语言的第二款DVN客户端。其他升级包括更稳健的RPC定额配置。Layerzero详细说明，这将使DVN能够在内部和外部提供商之间选择精细化的定额。团队还即将推出“Console”——一个供资产发行方管理安全并监控异常情况的统一平台。

Layerzero团队坚称底层协议未受RPC中毒攻击影响。他们表示，得益于模块化设计，近期其余90亿美元的交易流量得以保持安全。承认此次与Lazarus集团相关的攻击，凸显了当今跨链基础设施所面临的现实且持续的威胁。Layerzero的声明发布之际，已有数个DeFi项目选择采用Chainlink的CCIP。

本周早些时候，朝鲜外交部（通过官方媒体朝中社）驳斥了美国及国际社会将其与加密货币盗窃及网络攻击联系起来的指控。他们称这些指控是“荒谬的诽谤”、“虚假信息”，并指责这是美国出于政治动机发起的抹黑运动，旨在损害朝鲜的形象。