Cointime

扫码下载App
iOS & Android

谁该为「默认配置」买单?rsETH 劫案后半个月,LayerZero CEO「主动揽责」

媒体

撰文:Yangz,Techub News

在永不休眠的 Web3 世界里,4 月 18 日原本只是平凡的一天。然而,对于流动性再质押赛道乃至整个 DeFi 生态而言,一场足以被载入史册的「地震」却在链上悄然上演。在不到一小时内,黑客(据称是 Lazarus Group)利用 Kelp DAO 的跨链桥凭空铸造了 11.65 万枚 rsETH,价值约 2.92 亿美元。考虑到 rsETH 被广泛用作抵押品,黑客并未急于砸盘,而是将这些毫无价值支撑的「空气凭证」转手存入 Aave 等主流借贷协议,套取了约 2.36 亿美元的 ETH,将 Aave 等头部协议直接推入了坏账的深渊。

这并非跨链桥第一次遭遇攻击,但这一次却撕开了一个横亘在 Web3 行业已久的伤口:当底层基础设施(协议层)与上层建筑(应用层)交接出现真空时,谁该为消失的亿万资产买单?

在随后的半个多月时间里,这场危机演已然变成了一场关于技术、责任与权力的公开博弈。从一开始的「互相推诿」,到今日 LayerZero CEO 的「主动揽责」,这才算为这场责任边界之辩划下阶段性句点。

要理解这场争辩,必须先拆解黑客的攻击手法。有趣的是,此次攻击并非源于复杂的智能合约漏洞,问题的根源在于一个配置参数:1-of-1 DVN。

这个所谓的 DVN,也就是去中心化验证者网络,是 LayerZero V2 架构中负责验证跨链消息的组件。1-of-1 的配置意味着:只要一个验证者签名,跨链消息就被视为合法并执行。更糟糕的是,这把「钥匙」的操作权并非完全掌握在 Kelp 手中,而是依赖于底层的 RPC 节点。黑客通过 RPC 节点投毒配合 DDoS 攻击,劫持了那唯一的验证者节点,向其喂送虚假的「源链销毁记录」。验证者信了,签了名,这一大笔资产便凭空产生了。

那么,问题的关键,也就是这个「1/1 DVN」的锅到底该谁来背?

在攻击发生后的最初一段时间里,舆论的风向标原本是倒向 LayerZero 的。社媒上充斥着对 Kelp DAO 的冷嘲热讽:作为管理数亿美金的头部协议,竟然使用 1/1 单验证人这种「纸糊的门锁」,几乎不可原谅。

然而,当 4 月 21 日 Kelp 拿出「官方说明书」时,一场戏剧性的舆论反转发生了。Kelp 的核心论点只有一句话:如果官方文档和默认配置本身就是危险的,那么责任在编写文档和设定默认值的一方。这不是用户配置错误,而是产品本身的「引导性缺陷」。尽管 LayerZero CEO Bryan Pellegrino 在回应质疑时多次强调,这是应用层的选择,而非协议层的漏洞,但指责的重心开始从 Kelp 的「执行无能」转向了 LayerZero 的「系统性傲慢」——明知默认配置存在风险,却仍将其作为快速入门的标准示例。

此外,第三方开发者的声音也进一步放大了争议。Yearn 核心开发者 banteg 通过技术审查发现,LayerZero V2 的快速入门指南在以太坊、BNB Chain、Polygon、Arbitrum 和 Optimism 上均使用了这种危险的单源验证作为默认设置。Chainlink 社区负责人 Zach Rynes 的批评则更为辛辣:指责 LayerZero 正在将遵循其官方指引的用户当作「替罪羊」,以此掩盖其自身基础设施在面对顶级黑客攻击时的脆弱。

那么,究竟谁对谁错?其实都没全错,也都没全对。这场争论的本质其实是两种逻辑的碰撞。一种是「极客伦理」:工具是中立的,使用者应当为自己的选择负责。另一种则是「安全默认原则」:产品的出厂状态应处于安全性最高的状态。用户可以为了便捷主动降低门槛,但产品不该引导用户走向危险。

(完整内容尽在Techub News)

评论

所有评论

推荐阅读

  • 特朗普政府解除对OpenAI的GPT 5.6的限制

    7月8日,据AXIOS:特朗普政府解除对OpenAI的GPT 5.6的限制,商务部已批准OpenAI广泛推出其先进的GPT 5.6模型。(金十)

  • 美国现货以太坊ETF昨日净流入2520万美元

    7月8日,据Trader T监测,美国现货以太坊ETF昨日净流入2520万美元。

  • 美国现货比特币ETF昨日净流入2109万美元

    7月8日,据Trader T监测,美国现货比特币ETF昨日净流入2109万美元。

  • 美军称完成对伊朗新一轮打击

    7月8日,美军中央司令部最新发声明及视频称,美军对伊朗发动新一轮进攻性打击,动用精确制导弹药命中80余个目标,以此“直接回应伊朗近期对在霍尔木兹海峡航行的商船发起的袭击”。声明称,美军此次打击目标涵盖伊朗防空系统、指挥控制网络、沿岸雷达站点及反舰导弹作战能力;此外,在海峡及周边水域击毁逾60艘伊朗伊斯兰革命卫队小型舰艇。美军,此前伊朗先后袭击三艘途经霍尔木兹海峡的商船,分别为马绍尔群岛籍“阿尔·雷卡亚特”号油轮、沙特阿拉伯籍“韦迪安”号油轮及利比里亚籍“塞浦路斯繁荣”号油轮。美军中央司令部部队继续保持战备态势,“一旦伊方不遵守或违背协议,美方将随时追究其责任”。(CCTV国际时讯)

  • 伊朗军方誓言对美军予以“毁灭性回应”,警告勿干预霍尔木兹海峡

    7月8日,伊朗最高联合军事指挥部哈塔姆安比亚中央总部周三表示,伊朗武装部队将对美军做出“毁灭性回应”。此前伊朗指责美军针对伊朗南部部分地区发动打击,称其为“公然侵略行为”,并警告德黑兰不会允许美国干预霍尔木兹海峡的管理。该司令部表示,商船和油轮通过该水道的唯一安全通道是由伊朗确定的航线。美军周二对伊朗发动新一轮打击,并在三艘油轮于霍尔木兹海峡遭射弹袭击后,撤销了允许伊朗出口石油的许可证,进一步施压本已脆弱的停火协议。(金十)

  • 价值竞争时代:BitradeX加速构建全球竞争力

    从品牌全球化到生态建设,再到平台透明化,BitradeX正持续完善自身长期竞争力。近期,平台围绕国际品牌合作、BXC生态升级及储备金信息纳入CoinMarketCap(CMC)PoR展示体系等多项进展,展现出其在数字资产行业“价值竞争”时代的全球化发展路径。

  • The Era of Value Competition: BitradeX Accelerates the Construction of Global Competitiveness

    BitradeX continues to expand its global presence through brand growth, BXC ecosystem development, and greater transparency. Its partnership with David Villa and CMC PoR listing mark key milestones in its long-term strategy.

  • 市场消息:特朗普批准了对伊朗的打击计划

    7月8日,市场消息:特朗普批准了对伊朗的打击计划。(新浪财经)

  • “人工智能经济学”奠基人乔·韦曼:无论是否存在泡沫,人工智能技术仍将滚滚向前

    7月7日,近日,美国未来产业研究院创始人乔·韦曼在“智联全球 根筑苏州”AI生态研究分享会上表示,没有任何一项技术比人工智能更能颠覆性地改变企业、社会和世界。如果仅仅从有多少资本在追逐,以及存在多少机会的角度来看待人工智能,它可能处于泡沫中。然而某种程度上这并不重要,因为互联网也曾处于泡沫中,如今大多数人仍然在使用互联网。技术的进展和部署与投资路径是松散耦合,但并非直接相关的。投资可能涉及对特定领域的过度投资或投资不足,但像这样充满希望和潜力的技术仍将继续发展,无论未来会发生什么。世界各地有许多聪明人正在努力开发人工智能的下一代技术。乔·韦曼认为,关键在于回归对人类智能的认知本源,从而重建智能。他指出,能够在硅基材料上模仿人脑是一项重大成就,比如通过脉冲神经网络系统,复制大脑神经元如何利用电压脉冲进行工作。另一种路径是利用生物学,比如DNA不仅存储我们发育所需的信息,还可以作为计算机运行。此外,还有一些新的能源管理和简化方法也充满想象力,例如储备池计算、无能耗计算等。

  • 光通信概念股全线下跌,迈威尔科技跌超9%

    7月7日,美股光通信概念股全线下跌,Astera Labs跌超11%,Credo Technology跌超10%,迈威尔科技跌超9%,Coherent、康宁、Applied Optoelectron均跌超7%,Tower导体、格芯跌超6%,Lumentum、Ciena、诺基亚均跌超5%,博通跌超2%。