LayerZero 在针对 Kelp DAO 攻击事件(造成约 2.9 亿美元损失)的声明中表示,该事件的根本原因是 Kelp 安全架构中的漏洞。
该公司强调,尽管此前已有警告,但Kelp DAO的流动性重质押协议仍然使用单验证器系统而不是多验证器系统。
据 LayerZero 称,攻击者采用了一种新的攻击方法,该方法侧重于基础设施层而非协议代码。声明指出,此次攻击极有可能由与朝鲜有关联的 Lazarus Group 及其子组织 TraderTraitor 实施。据报道,攻击者攻破了用于验证过程的两个 RPC 节点,使欺诈交易看起来像是已经通过验证。
然而,攻击者通过对其他完好的RPC节点发起分布式拒绝服务(DDoS)攻击来操纵系统。这确保了验证器系统只能从被攻破的节点接收数据,并且116,500个rsETH通过桥接器落入攻击者的控制之下。
LayerZero强调,此次事件的发生完全是由于Kelp协议采用的“1/1”验证器配置所致。该公司表示,在采用多个验证器的系统中,此类攻击不会得逞。他们还指出,运行在该协议上的其他应用程序并未受到影响,系统整体不存在漏洞。
专家表示,此次事件凸显了 DeFi 生态系统中基础设施安全的重要性,并表明攻击者组织正在开发越来越复杂的攻击手段。
*本文不构成投资建议。
