以太坊最大的流动性质押协议Lido惊传骇客事件,根据官方说法,Lido预言机多重签名地址遭到入侵,所幸发现及时、影响有限,仅损失1.46枚以太币(约4,200美元),用户资金未受波及。Lido协议目前掌握超过全网25%的以太币质押总量,在以太坊生态系中地位举足轻重,而这次事件起因则是预言机服务商ChorusOne所管理的Lido预言机热钱包遭入侵,骇客透过该钱包操控交易,窃走少量用于支付交易手续费的以太币。
根据Lido和ChorusOne双方的声明,这次骇客入侵仅限于用来回报链上数据的热钱包,并未导致广泛性资安破口,也未对用户资金构成威胁,而且在技术设计上已有防线。Lido采用的是5/9多重签名机制,换言之,假设其中一至两组私钥遭盗用,整体系统也仍可继续安全运行。
据ChorusOne的说法,骇客入侵迹象是在周日凌晨被发现,当时一笔「低余额」的警报触发了内部稽核,进一步揭露该地址的预言机私钥已遭未授权使用。该私钥自2021年沿用至今,安全标准落后于近年更新机制,成为漏洞破口。为防堵后续风险,Lido已紧急启动去中心化自治组织(DAO)投票程序,以更换私钥遭泄的预言机节点。
