根据 LayerZero Labs 的事件报告,4 月 18 日,rsETH 跨链桥遭到攻击,导致 116,500 rsETH(约 2.92 亿美元)被盗。Mandiant、CrowdStrike 以及独立研究人员将此次攻击归因于与朝鲜有关的黑客组织 TraderTraitor(UNC4899)。
此次攻击于 3 月 6 日通过针对 LayerZero 开发者账号的社交工程开始。攻击者获取了会话密钥,渗透 RPC 云端环境,并篡改内部 RPC 节点数据以生成伪造的跨链证明。随后,他们对外部 RPC 提供商发起拒绝服务攻击,迫使验证系统依赖被攻陷的节点。核心漏洞在于:受影响的应用采用单一验证者配置,使其在仅收到一条有效签名后即可释放资产。
LayerZero Labs 表示,将通过禁止其 DVN 在单一验证者设置中充当唯一签名者来调整安全策略,重建受影响的云端基础设施,并实施短期凭证、即时权限升级以及多重审批机制。zeroShadow 与执法机构已启动调查和资产追踪。
