一起高達 2.92 億美元的駭客風暴,不僅創下今年 DeFi 領域最大竊案紀錄,更在幣圈掀起一場推卸責任的羅生門。面對外界猛烈砲火,流動性再質押協議 Kelp DAO 周一發布聲明,強硬反擊外界對其疏失的指控,並將防護破口的大鍋,狠狠甩向跨鏈技術提供商 LayerZero 。
回顧 4 月 18 日,基於 LayerZero 跨鏈技術構建的 Kelp DAO 慘遭駭客洗劫,損失多達 116,500 枚 rsETH 代幣,總值約 2.92 億美元,寫下今年以來 DeFi 領域規模最龐大的駭客事故。
針對這起攻擊,LayerZero 周日率先發布初步調查報告,指出幕後黑手極可能是惡名昭彰的北韓駭客組織「拉撒路集團(Lazarus Group)」。
報告揭露,駭客首先攻入 LayerZero 去中心化驗證網路(DVN,負責驗證跨鏈訊息真偽的節點網路)所使用的 RPC 節點列表,隨後對其中 2 個 RPC 節點進行投毒,並向剩餘的 RPC 節點發起 DDoS 攻擊,迫使系統切換到被篡改的節點,讓 DVN 接收虛假的跨鏈訊息,最終簽署了這筆未經官方授權的盜幣交易。
在報告中,LayerZero 批評 Kelp DAO 採用了極度脆弱的「1-of-1 DVN(單一驗證節點)」配置。 LayerZero 強調,這種設計缺乏獨立的驗證機制,形同在系統中埋下「單點故障」的致命隱患,導致網路無法攔截虛假的跨鏈訊息。
LayerZero 指出:「我們與外部專家早前就曾多次建議 Kelp DAO,應該分散 DVN 的節點配置以提高安全性,但儘管有這些建言,Kelp 仍執意採用 1-of-1 的 DVN 配置。」
面對「不聽勸告」的嚴厲指控,Kelp DAO 隨即在社群平台 X 上開砲反擊,直指這個釀成大禍的「1-of-1 DVN 配置」,根本就是 LayerZero 官方一手促成的。 Kelp DAO 在聲明中反駁:
所謂的單點驗證配置,白紙黑字寫在 LayerZero 的官方技術文件中,這本來就是任何新建全鏈同質化代幣(OFT,允許代幣在多鏈間無縫轉換的代幣標準)時的「預設選項」。自 2024 年 1 月以來,Kelp 就一直在 LayerZero 的基礎設施上運行,並始終與 LayerZero 團隊保持開放的溝通管道。
Kelp DAO 進一步表示,當初協議準備擴展至 Layer 2 時,雙方就曾針對 DVN 配置進行過深入討論,而單一驗證節點的預設設定在當時更獲得了 LayerZero 官方「明確確認為適當」。
「一個具有雙方共識且準確的事件還原過程,才是我們共同做出正確補救措施的基礎,」Kelp DAO 語帶雙關地呼籲,暗示 LayerZero 不應在此刻急於推卸責任。
儘管雙方仍在為資安漏洞的責任歸屬唇槍舌戰,Kelp DAO 強調,團隊在事發第一時間已採取了果斷的危機處理措施,包含緊急暫停運行相關智能合約,並將與駭客關聯的錢包地址全數列入黑名單,成功控制住災情範圍,避免損失進一步擴大。
目前,Kelp 團隊正在審慎評估下一步的安全強化行動,力求盡快讓協議安全恢復運行。
免責聲明:本文只為提供市場訊息,所有內容及觀點僅供參考,不構成投資建議,不代表區塊客觀點和立場。投資者應自行決策與交易,對投資者交易形成的直接或間接損失,作者及區塊客將不承擔任何責任。
