LayerZero归咎KelpDAO安全配置，加密社区质疑其推卸责任

博链BroadChain获悉，4月21日 18:16，据 NewsBTC，全链互操作性协议LayerZero因对近期2.9亿美元KelpDAO攻击事件的回应面临猛烈批评。该协议将事件归咎于KelpDAO采用的1-of-1验证器配置，称此次由朝鲜 Lazarus 集团实施的“高度复杂攻击”是针对加密基础设施的攻击，而非协议漏洞，并强调“对其他跨链资产或应用零传染性”。LayerZero解释称，其协议基于模块化、应用可配置的安全基础构建，使用去中心化验证器网络（DVN）验证跨链消息完整性；攻击者通过“入侵LayerZero Labs DVN所依赖的多数RPC基础设施”毒化下游RPC，伪造消息并触发DVN确认虚假交易。LayerZero据此将责任归于KelpDAO未采用其推荐的多DVN配置。加密社区对此强烈不满，批评LayerZero缺乏问责，将责任完全推给客户的安全设置是“经典小丑行为”，并质疑若DVN旨在提供可定制/模块化安全，为何协议本身允许存在“1-of-1”配置选项，这实属根本性设计缺陷。分析师The Smart Ape进一步指出，LayerZero的诊断与解决方案均错误，增加验证器数量无法阻止下一次巨额攻击，因为所有DVN都从同一小撮RPC提供商（大多集中于AWS或GCP）读取链状态；若多个“独立”DVN从相同三个RPC提供商读取数据，攻击者同时毒化这三个RPC即可欺骗所有验证器。他建议根本解决之道在于每个验证器应在不同客户端软件上运行自己的全节点，托管于不同云提供商，由不同运营团队维护，并与以太坊网络的不同子集对等，直至能够审计DVN的上游拓扑结构，否则“M-of-N安全”仅是营销话术。Lazarus在4月18日并未破解密码学，他们只是攻破了三台服务器。