LayerZero歸咎KelpDAO安全配置，加密社群質疑其推卸責任

博鏈BroadChain獲悉，4月21日 18:16，據 NewsBTC，全鏈互操作性協議LayerZero因對近期2.9億美元KelpDAO攻擊事件的回應面臨猛烈批評。該協議將事件歸咎於KelpDAO採用的1-of-1驗證器配置，稱此次由朝鮮 Lazarus 集團實施的「高度複雜攻擊」是針對加密基礎設施的攻擊，而非協議漏洞，並強調「對其他跨鏈資產或應用零傳染性」。LayerZero解釋稱，其協議基於模組化、應用可配置的安全基礎構建，使用去中心化驗證器網絡（DVN）驗證跨鏈消息完整性；攻擊者通過「入侵LayerZero Labs DVN所依賴的多數RPC基礎設施」毒化下游RPC，偽造消息並觸發DVN確認虛假交易。LayerZero據此將責任歸於KelpDAO未採用其推薦的多DVN配置。加密社區對此強烈不滿，批評LayerZero缺乏問責，將責任完全推給客戶的安全設置是「經典小丑行為」，並質疑若DVN旨在提供可定制/模組化安全，為何協議本身允許存在「1-of-1」配置選項，這實屬根本性設計缺陷。分析師The Smart Ape進一步指出，LayerZero的診斷與解決方案均錯誤，增加驗證器數量無法阻止下一次巨額攻擊，因為所有DVN都從同一小撮RPC提供商（大多集中於AWS或GCP）讀取鏈狀態；若多個「獨立」DVN從相同三個RPC提供商讀取數據，攻擊者同時毒化這三個RPC即可欺騙所有驗證器。他建議根本解決之道在於每個驗證器應在不同客戶端軟體上運行自己的全節點，託管於不同雲提供商，由不同運營團隊維護，並與以太坊網絡的不同子集對等，直至能夠審計DVN的上游拓撲結構，否則「M-of-N安全」僅是營銷話術。Lazarus在4月18日並未破解密碼學，他們只是攻破了三台伺服器。