以太坊最大的流动性质押协议Lido 惊传骇客事件,根据官方说法,Lido 预言机多重签名地址遭到入侵,所幸发现及时、影响有限,仅损失1.46 枚以太币(约4,200 美元),用户资金未受波及。
Lido 协议目前掌握超过全网25% 的以太币质押总量,在以太坊生态系中地位举足轻重,而这次事件起因则是预言机服务商Chorus One 所管理的Lido 预言机热钱包遭入侵,骇客透过该钱包操控交易,窃走少量用于支付交易手续费的以太币。
根据Lido 和Chorus One 双方的声明,这次骇客入侵仅限于用来回报链上数据的热钱包,并未导致广泛性资安破口,也未对用户资金构成威胁,而且在技术设计上已有防线。
Lido 采用的是5/9 多重签名机制,换言之,假设其中一至两组私钥遭盗用,整体系统也仍可继续安全运行。
据Chorus One的说法,黑客入侵迹象是在周日凌晨被发现,当时一笔「低余额」的警报触发了内部稽核,进一步揭露该地址的预言机私钥已遭未授权使用。该私钥自2021 年沿用至今,安全标准落后于近年更新机制,成为漏洞破口。
为防堵后续风险,Lido 已紧急启动去中心化自治组织(DAO)投票程序,以更换私钥遭泄的预言机节点。
