在加密货币的世界里,安全问题始终如高悬的达摩克利斯之剑。以太坊最大的流动性质押协议Lido,在今年5月份经历过一次黑客事件的冲击。
5 月 10 日凌晨预言机服务商 Chorus One 披露,Chorus One管理的一个用于在Lido预言机中进行投票的热钱包被未经授权的实体访问,导致1.46枚ETH被转移,按ETH目前价格2432.58计算,大约是3551.56美元,更幸运的是,用户资金并未受到波及。
也许你会好奇,黑客究竟是怎么找到这个漏洞的呢?据ChorusOne透露,黑客入侵的迹象在周日凌晨被敏锐地察觉到。当时,一个“低余额”的警报突然触发了内部稽核,就像小区里的安保系统突然检测到异常情况。随着调查的深入,他们发现该地址的预言机私钥已被未经授权使用。而这个私钥自2021年就开始沿用,安全标准明显落后于近年来更新的机制,就如同多年未换锁的房子,很容易被不法分子盯上,这个老旧的私钥就这样成了整个系统的漏洞破口。
面对黑客的攻击,Lido迅速做出反应。第一时间紧急启动了去中心化自治组织(DAO)投票程序,目的是更换私钥泄露的预言机节点。这就好比发现某个城门的守卫出了问题,立刻更换城门守卫,以防止后续可能出现的更大危机。Lido和ChorusOne也赶紧发表声明安抚大家,这次黑客入侵仅仅局限于用来回报链上数据的热钱包,并没有引发广泛性的安全破口,用户资金的安全在技术设计上是有保障的。原来,Lido采用的是5/9多重签名机制,也就是说,就算其中一到两组私钥不幸被盗用,整个系统依然能够像一位经验丰富的战士,在复杂的战场上继续安全运行。
说到这里,大家可能对预言机感到好奇,它到底是什么,在Lido里又扮演着什么样的角色呢?简单来讲,预言机就像是区块链世界与现实世界之间的“翻译官”。在区块链这个“数字城堡”里,智能合约制定了各种规则,可城堡本身没办法知道现实世界发生了什么。比如一个智能合约规定“如果明天北京下雨,就自动赔付100元给小明”,区块链自身是无法得知明天北京是否下雨这个信息的,这时候就需要预言机这个“信使”去现实世界打听清楚,再回来告诉城堡里的智能合约。
在Lido协议里,预言机负责将共识层的信息传递到执行层,同时汇报协议动态。它本质上是由9个独立参与者组成的分布式机制,而且需要5/9达成共识才能运作,主要工作包括代币通胀奖励发放、提款流程处理、验证节点退出及性能监控等。这些预言机就像一群认真负责的记录员,会向协议提交它们观察到的状态“报告”,这些报告用来计算每日累计的奖励或惩罚、更新stETH余额、处理并确认提款请求等。不过,Lido的预言机和我们平常理解的“多签”不太一样,它既没办法访问质押者和协议的资金,也不能控制协议合约的升级,更不能对自身进行升级或管理成员资格,它的功能相对比较有限,只能按照特定的算法提交报告,在特定情况下执行交易来落实报告结果。
那为什么Lido在遭受预言机攻击后,受影响程度如此有限呢?这得从它的设计和防护机制说起。单个被攻破的预言机就算想搞破坏,也没那么容易得逞。它可能会提交恶意报告,但其他诚实的预言机可不会搭理它;它也可能试图耗尽该特定预言机地址的ETH余额,可这个地址本身就只是用于运营交易,根本没存放质押者的资金。就算9个预言机中有5个被攻破,这些恶意预言机合谋提交恶意报告,报告也必须通过链上强制执行的协议合理性检查。要是报告违反了这些检查,处理时间就会延长,甚至可能永远都无法“结算”,因为报告里的数值必须符合特定时间段内允许的数值变化范围。在最坏的情况下,可能意味着类似stETH的rebase(无论是正向还是负向)生效时间会变长,这对一些在DeFi中以杠杆方式使用stETH的人会有影响,但对大多数持有者而言,影响微乎其微。而且,一旦出现问题,协议的“应急模式”就会启动,确保提款流程公平执行,用户通过Lido直接发起的提款操作不会受到影响。
在整个事件过程中,Lido生态系统的参与者们的表现也可圈可点。无论是贡献者、节点运营方,还是预言机运营方,他们始终将透明度与善意放在首位,一心保障质押者权益和生态系统的健康发展。他们会主动发布详细的事后分析报告,就像老师给学生详细讲解错题一样;如果因为基础设施停机给质押者造成损失,他们会积极补偿;还会出于预防性考量主动退出验证节点,就像发现前方可能有危险,提前选择更安全的路线;一旦出现事故,也会迅速发布全面的报告,让大家第一时间了解情况。这种对透明度的执着追求,就像是给整个生态系统穿上了一层坚固的“信任铠甲”。
除了现有的安全机制和参与者的努力,Lido还在持续进行技术研发,不断为自身的安全性和去信任化水平“添砖加瓦”。零知识证明(ZK)技术就是他们的一个重要探索方向。早在初期阶段,团队就投入了超过20万美元的专项资金,支持通过零知识证明技术实现共识层数据的无需信任验证。这些努力最终促成了由SuccinctLabs团队研发的SP1零知识预言机“双重校验”机制即将在年内正式上线。这个机制就像是给Lido的安全防护加上了一道“双保险”,通过可验证的共识层数据,为潜在的负向rebase操作提供额外的安全验证层。虽然目前这类零知识技术还在发展阶段,相关的零知识虚拟机(zkVM)存在运算速度较慢、计算成本较高的问题,暂时还无法完全取代可信预言机,但从长远来看,它有望成为现有预言机的信任最小化替代方案。
Lido的这次黑客事件,就像是给整个去中心化金融(DeFi)行业敲响了一次警钟,让大家更加深刻地认识到网络安全的重要性。随着全球货币、贸易和商业系统越来越多地向区块链迁移,DeFi的攻击面也在不断扩大,网络安全问题变得愈发复杂和严峻。据网络安全公司Hacken发布的报告显示,2025年第一季度,因为黑客攻击、诈骗和网络安全漏洞,超过20亿美元的加密货币流失。仅在2025年4月,加密货币黑客攻击造成的损失就高达3.57亿美元。面对这样的形势,整个加密货币行业都在积极探索更有效的网络安全和代码审计措施,就像一群勇敢的战士在努力打造更坚固的盾牌,来抵御黑客攻击和漏洞利用的浪潮。
Lido虽然遭遇了黑客攻击,但凭借其精心设计的安全机制、参与者对透明度的坚守以及持续的技术创新,成功将影响控制在最小范围内。这一事件不仅让我们看到了Lido的韧性和应对危机的能力,也为整个加密货币行业在网络安全方面提供了宝贵的经验和启示。在未来,随着技术的不断进步和安全措施的日益完善,我们有理由相信,加密货币行业能够在保障安全的基础上,实现更加稳健的发展。
关键词标签:Lido
相关阅读
热门文章
Lido 遭遇黑客攻击,却为何未引发恐慌?
以太坊稳定币:为何ETH价格波动被指堪比稳定币?
比特币杠杆是什么意思,比特币杠杆有什么作用?
Polkadot 为何能成为区块链多链之王?
Notepad2时间:2022-03-14 19:51:43
winhex中文版(多功能十六进制编辑器)时间:2022-03-08 16:34:03
文本替换、符号批量替换必备工具时间:2021-12-13 15:40:25
emeditor32位+64位专业版时间:2021-07-16 15:20:05
精科文字转换通时间:2021-06-01 18:10:22
WinHex单文件版时间:2021-03-23 19:20:39
人气排行 meme币与比特币有关系吗?meme币和比特币之间的关系揭秘 虚拟币交易所怎么下载?虚拟币交易所app下载安装教程最新版 web3交易平台排行榜:全球web3交易平台排名前十最新汇总 大零币和小零币哪个值钱?大零币和小零币投资价值解析 热币是什么意思,是交易所还是一个币?热币概念解析 web3交易所是什么意思,它是什么时候成立的?web3交易所简介 币圈杠杆倍率1还是10,倍数怎么算?币圈杠杆倍率计算方式介绍 热币交易所是干什么的,什么时候成立的?热币交易所入门介绍
查看所有0条评论>>