在竞争对手平台被盗近 3 亿美元后，多链协议加强了对打包以太坊传输的防御

Ether.fi 已披露其对 4 月 18 日影响 Kelp DAO 的 rsETH 漏洞的完整回应。事件期间，一条伪造的跨链消息释放了约 2.92 亿美元的无支持 rsETH。平台上的系统没有直接受到损害。 EtherFi Liquid 金库也没有直接接触 rsETH。该事件暴露了 DeFi 跨链消息基础设施中的一个严重漏洞。这导致该协议在部署 weETH 的所有 20 条链上执行协议范围内的安全强化。该漏洞的根本原因是缺乏冗余的单 DVN 配置。 Ether.fi 的网桥此前已在所有路径上实施了两个或多个 DVN。尽管如此，该事件还是引发了全面审查和三项具体强化措施。第一个修复涉及消息库固定在每个 weETH 路径上。 Ether.fi 将 SendUln302 和 ReceiveUln302 地址固定到 weETH 的 OApp 特定配置槽中。这阻止了 LayerZero 的多重签名在绕过 DVN 验证的库中进行交换。所有链的后备路径已完全关闭。然后该协议固定其四 DVN 集并将验证阈值提高到 4/4。现在，每条入站 weETH 消息都需要所有四个 DVN 的证明。单个恶意或不可用的 DVN 会停止消息而不是被绕过。 LayerZero 独立审查并确认了更新后的配置。此外，该平台还收紧了其控制的所有桥梁合约的每条路线的速率限制。现在，每个源和目的地路径都强制执行保守的入站和出站 weETH 上限。这些限制适用于完全由协议控制的合约。无论上游桥接提供商的行为如何，它们仍然有效。除了立即修复之外，该协议正在评估第二个独立的桥梁提供商，以降低系统性风险。 Chainlink CCIP 和 Wormhole 目前正在与 LayerZero 一起考虑。然后，跨链 weETH 消息需要来自法定数量的提供商的证明。此举完全消除了对单一提供商的依赖。经过系统的 L2 风险评估后，ether.fi 正在弃用八个网络上的 weETH 桥接。 Scroll、Swell、Bera、zkSync、Mode、Blast、Morph 和 Sonic 将于 6 月底弃用。为了缩小 DeFi 领域的协调差距，ether.fi 加入了 DeFi United 集体。该联盟汇集了 Aave、Kelp DAO、LayerZero 和 ether.fi。共享安全标准和协调的事件响应是其核心重点。这种方法确保没有协议单独面临跨链故障。 EtherFi 基金会正在向专用的 DeFi United 救援工具捐赠 5,000 ETH。该集体的其他合作伙伴也与 ether.fi 一起做出贡献。当未来发生故障时，该联盟的目标是让生态系统作为一个整体做出反应。