LayerZero wydało w piątek publiczne przeprosiny za sposób, w jaki zarządzało skutkami exploita z 18 kwietnia, który pozbawił Kelp DAO około 292 milionów dolarów w rsETH z mostu międzyłańcuchowego, co stanowi znaczącą zmianę tonu w porównaniu z wcześniejszą analizą poincydentalną, w której protokół został scharakteryzowany jako "działający dokładnie zgodnie z przeznaczeniem".
"Wykonaliśmy fatalną robotę w komunikacji przez ostatnie trzy tygodnie", napisał LayerZero w poście na blogu, który został również opublikowany na X. "Chcieliśmy priorytetyzować kompletność w formie kompleksowej analizy poincydentalnej, ale powinniśmy byli zacząć od bezpośredniości."
Protokół poinformował, że jego wewnętrzne węzły RPC, na których polegała jego Zdecentralizowana Sieć Weryfikatorów (DVN) do odczytywania stanu łańcucha źródłowego, zostały skompromitowane przez północnokoreańską Grupę Lazarus. Atakujący zatruli strumienie danych tych węzłów, jednocześnie przeprowadzając atak DDoS na zewnętrznych dostawców RPC LayerZero, zmuszając DVN do przełączenia się na skompromitowaną infrastrukturę i zatwierdzania transakcji, które nigdy faktycznie nie miały miejsca. LayerZero wcześniej przypisywało atak podgrupie Lazarusa znanej jako TraderTraitor.
W poście uznano punkt, któremu LayerZero wcześniej się opierało: nie powinno było pozwolić, aby jego DVN służyło jako jedyny weryfikator dla transakcji o wysokiej wartości. "Uważamy, że deweloperzy powinni wybierać własne konfiguracje bezpieczeństwa, ale popełniliśmy błąd, pozwalając naszemu DVN działać jako 1/1 DVN dla transakcji o wysokiej wartości", napisała firma. "Nie nadzorowaliśmy tego, co zabezpieczało nasze DVN, co stworzyło ryzyko, którego po prostu nie widzieliśmy."
Takie sformułowanie stanowi znaczącą koncesję. Początkowe oświadczenie LayerZero dotyczące incydentu obarczało winą bezpośrednio wybory konfiguracyjne Kelp DAO, opisując konfigurację DVN 1-z-1 jako decyzję podjętą przez Kelp wbrew zaleceniom.
Kelp DAO publicznie zakwestionowało tę wersję, wskazując na własną dokumentację LayerZero, przewodniki szybkiego startu i przykłady deweloperskie jako dowód, że konfiguracja z jednym weryfikatorem była domyślną rekomendacją platformy podczas onboardingu. Analiza Dune cytowana przez Kelp wykazała, że 47% z około 2665 aktywnych kontraktów LayerZero OApp korzystało z tej samej konfiguracji w momencie ataku.
LayerZero podało, że exploit dotknął pojedynczej aplikacji, co stanowiło około 0,14% wszystkich aplikacji w sieci i około 0,36% wartości aktywów korzystających z LayerZero. Dodało, że od 19 kwietnia przez protokół przepłynęło ponad 9 miliardów dolarów.
Post na blogu ujawnił również wcześniej niezgłoszony incydent związany z bezpieczeństwem operacyjnym. Około trzy i pół roku temu jeden z sygnatariuszy multisig LayerZero użył swojego produkcyjnego portfela sprzętowego do wykonania osobistej transakcji, zamierzając użyć oddzielnego urządzenia osobistego. LayerZero poinformowało, że sygnatariusz został usunięty z multisig, portfele zostały zmienione, a firma od tego czasu dodała oprogramowanie do wykrywania anomalii do każdego urządzenia podpisującego.
Ujawnienie następuje w obliczu oddzielnej, trwającej kontroli bezpieczeństwa operacyjnego sygnatariuszy multisig LayerZero. Badacze on-chain i eksperci ds. bezpieczeństwa, w tym łącznik społeczności Chainlink Zach Rynes, sygnalizowali dowody na to, że produkcyjne klucze multisig były używane do niezwiązanej z tym aktywności DEX, w tym do czegoś, co wyglądało na wymianę memecoina McPepes na Uniswap. Dyrektor generalny LayerZero, Bryan Pellegrino, powiedział, że transakcje były testami OFT przeprowadzanymi przez byłych sygnatariuszy, którzy zostali od tego czasu usunięci.
LayerZero przedstawiło zestaw zmian, które wprowadziło od czasu exploita. DVN LayerZero Labs nie obsługuje już konfiguracji DVN 1/1. Domyślne ustawienia wszystkich ścieżek są migrowane w celu wymuszenia użycia co najmniej pięciu weryfikatorów tam, gdzie to możliwe, z minimum trzema w łańcuchach, gdzie dostępne są tylko trzy DVN. Firma buduje również drugiego klienta DVN napisanego w Rust w celu dywersyfikacji klientów i przekonfigurowała swoją konfigurację RPC, aby umożliwić bardziej szczegółową kontrolę kworum między wewnętrznymi i zewnętrznymi dostawcami węzłów.
Po stronie infrastruktury, LayerZero oświadczyło, że planuje podnieść swój własny próg multisig z 3-z-5 do 7-z-10, używając OneSig, otwartego narzędzia multisig, które firma wprowadziła w zeszłym roku. OneSig pozwala sygnatariuszom pobierać transakcje i haszować je lokalnie przed podpisaniem, zapobiegając wstawianiu nieautoryzowanych transakcji przez backend. LayerZero powiedziało również, że buduje platformę o nazwie Console dla emitentów aktywów, aby mogli konfigurować i monitorować ustawienia bezpieczeństwa, z wbudowanym wykrywaniem anomalii do sygnalizowania ryzykownych konfiguracji.
Przeprosiny przychodzą w trudnym momencie dla LayerZero. Dwa główne protokoły przeniosły swoją infrastrukturę międzyłańcuchową do CCIP Chainlinka w ciągu kilku tygodni od exploita. Kelp DAO ogłosiło swoje odejście na początku tego tygodnia, stając się pierwszym dużym protokołem, który opuścił LayerZero od czasu ataku. Solv Protocol poszło w jego ślady, ogłaszając, że przeniesie ponad 700 milionów dolarów w tokenizowanym bitcoinie z LayerZero, powołując się na obawy dotyczące bezpieczeństwa.
W międzyczasie inicjatywa odzyskiwania DeFi United, utworzona po exploitie, zebrała ponad 300 milionów dolarów w ETH i stablecoinach. LayerZero przekazało 10 000 ETH, podzielone między darowiznę 5 000 ETH i pożyczkę 5 000 ETH dla Aave, które stoi w obliczu szacowanych 124 do 230 milionów dolarów w złych długach z powodu incydentu. Arbitrum DAO zagłosowało za uwolnieniem 30 766 zamrożonych ETH na cele odzyskiwania, a sędzia w piątek zezwolił na kontynuację transferu pomimo nakazu powstrzymania od ofiar terroryzmu i wierzycieli z Korei Północnej.
LayerZero podało, że oficjalna analiza poincydentalna zostanie opublikowana po zakończeniu pracy przez zewnętrznych partnerów ds. bezpieczeństwa.
Zastrzeżenie: The Block jest niezależnym medium, które dostarcza wiadomości, badania i dane. Od listopada 2023 r. Foresight Ventures jest większościowym inwestorem The Block. Foresight Ventures inwestuje w inne firmy z przestrzeni kryptowalutowej. Giełda kryptowalut Bitget jest głównym LP dla Foresight Ventures. The Block nadal działa niezależnie, aby dostarczać obiektywne, wpływowe i aktualne informacje o branży kryptowalutowej. Oto nasze aktualne oświadczenia finansowe.
© 2026 The Block. Wszelkie prawa zastrzeżone. Ten artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porada prawna, podatkowa, inwestycyjna, finansowa ani inna.
