Zach Rynes | CLG|2026年05月20日 16:11
新的尸检证实了我们已经知道的事情:@LayerZero_Labs的集中式基础设施被朝鲜黑客入侵,导致2.92亿美元的rsETH网桥漏洞
事实证明,这只需要一名工程师进行社会工程,他的笔记本电脑在执行漏洞利用之前被完全破坏了6周多,没有被发现,这是一个疯狂的单点故障,缺乏足够的监控
这只是建立在LZ Labs糟糕的opsec的广泛历史之上,包括在生产多重签名密钥上交易像“McPepes”这样的模因币,这些密钥多年来没有轮换,Bryan撒谎说这只是“PEPE OFT测试”(2-of-5 LZ Labs多重签名上的3个密钥多年来一直面临网络钓鱼攻击的风险)
尽管我在2年前直接向Bryan指出了导致rsETH漏洞的集中化风险,Bryan撒谎说没有项目在1-1配置中使用LZ Labs DVN(实际上,有多个项目在使用)
鉴于现在任何关注LZ实验室糟糕的opsec是造成这种情况的根本原因,但我不清楚为什么LZ实验室没有承担全部漏洞,因为他们的基础设施遭到了破坏,而这些基础设施被用于他们多年来积极支持和货币化的配置中
此外,在整个事件中,LayerZero广泛的风险投资支持者名单一直非常安静,没有向rsETH恢复基金捐款一分钱,尽管向受损的基础设施投入了3亿多美元的资金,包括几个月前的一次融资
我不想再重复同样的观点,但我他妈的厌倦了指出集中式、不安全的VC垃圾基础设施的风险,结果却眼睁睁地看着它不可避免地被黑客攻击,并在此过程中破坏DeFi的声誉
如果人们听了我和许多独立安全研究人员多年来分享的关于LayerZero的警告,整个情况本可以避免
作为一个行业,我们可以做得更好,我很高兴看到高质量的团队迁移到默认的安全基础设施
分享至:
脉络
热门快讯
APP下载
X
Telegram
复制链接