#LayerZeroCEOAdmitsProtocolFlaws
CEO da LayerZero Confessa: Vulnerabilidades do Protocolo e o Hack $290M Após
O mundo cross-chain foi abalado em abril-maio de 2026. O CEO da LayerZero, Bryan Pellegrino, revelou uma vulnerabilidade crítica no contrato do token do Across Protocol. Na mesma semana, ocorreu o hack de $292 milhões do KelpDAO. A comunidade se levantou: “Só aumentar o número de validadores não é suficiente”.
1. Confissão do CEO: “Alerta Vermelho” no Contrato do Token
Pellegrino dirigiu-se à equipe do Across: “Você deixou uma função que deveria ser privada no seu aplicativo ERC20 pública por engano. O proprietário do contrato pode retirar tokens de qualquer carteira e zerar o saldo. Além disso, os contratos do Across e UMA têm permissão de mint ilimitada”.
Sugestão de solução: transfira a propriedade do contrato para um contrato inteligente imutável. Desative as permissões de mint/burn. Porque essa é uma vulnerabilidade permanente. Pellegrino: “Se houver bug bounty, entre em contato com a equipe da LayerZero”.
2. A Tragédia do $292M KelpDAO: Disputa de Responsabilidade
Por volta de 20 de abril, o KelpDAO esvaziou sua ponte LayerZero: 116.500 rsETH, $292M gone. Suspeita-se do grupo Lazarus.
LayerZero: “O ataque não foi ao nosso protocolo, mas à infraestrutura. Como o KelpDAO usou um DVN 1-de-1, foi um incidente isolado”. Ou seja, confiaram em uma única rede de validadores, nossa sugestão era múltiplos DVN.
A comunidade está furiosa: “Sua infraestrutura RPC foi hackeada, vocês não podem culpar apenas o KelpDAO”. 47% do OApp ainda usa DVN 1-de-1. Risco de $4,5 bilhões.
3. Problema Estrutural: Arquitetura DVN
LayerZero afirma que é “segurança modular”: aplicações escolhem seus próprios DVN. Mas, se as configurações padrão forem fracas, os projetos acabam confiando em um único validador sem saber. Isso aconteceu com o KelpDAO. Os atacantes envenenaram os RPCs e fizeram aprovações de mensagens falsas.
Stani Kulechov alertou: “Explorações de pontes representam uma ameaça existencial para DeFi. Ronin, Poly Network, Nomad e agora as pontes baseadas na LayerZero estão na mira”.
Impacto no Mercado • Token ZRO: caiu 20% após o hack, variando entre $1,47 e $2,28. Apesar de uma alta de 5,18% nos últimos 3 dias, a tendência é de baixa. • Risco de TVL: mais de $4,5 bilhões em OApp, operando com DVN 1-de-1. Se um ataque semelhante acontecer novamente, o risco de contágio é alto. • Crise de Confiança: “Zero contagion” foi dito, mas a comunidade não está convencida. A segurança das pontes em DeFi é agora a prioridade número um.
Resumo: LayerZero diz que “a aplicação escolhe sua própria segurança”, mas as configurações padrão colocam bilhões em risco. A confissão do CEO sobre o Across foi bem-intencionada, mas a postura de “não somos responsáveis” após o KelpDAO gerou reações negativas. A segurança a nível de protocolo não se resolve apenas adicionando mais validadores. Auditorias, padrões e transparência em toda a indústria são essenciais.
#GateSquareMayTradingShare
#CompartilhamentoDeNegociaçõesDeMaioNoGateSquare
#LayerZeroCEOAdmitsProtocolFlaws
CEO da LayerZero Confessa: Vulnerabilidades do Protocolo e o Hack $290M Após
O mundo cross-chain foi abalado em abril-maio de 2026. O CEO da LayerZero, Bryan Pellegrino, revelou uma vulnerabilidade crítica no contrato do token do Across Protocol. Na mesma semana, ocorreu o hack de $292 milhões do KelpDAO. A comunidade se levantou: “Só aumentar o número de validadores não é suficiente”.
1. Confissão do CEO: “Alerta Vermelho” no Contrato do Token
Pellegrino dirigiu-se à equipe do Across: “Você deixou uma função que deveria ser privada no seu aplicativo ERC20 pública por engano. O proprietário do contrato pode retirar tokens de qualquer carteira e zerar o saldo. Além disso, os contratos do Across e UMA têm permissão de mint ilimitada”.
Sugestão de solução: transfira a propriedade do contrato para um contrato inteligente imutável. Desative as permissões de mint/burn. Porque essa é uma vulnerabilidade permanente. Pellegrino: “Se houver bug bounty, entre em contato com a equipe da LayerZero”.
2. A Tragédia do $292M KelpDAO: Disputa de Responsabilidade
Por volta de 20 de abril, o KelpDAO esvaziou sua ponte LayerZero: 116.500 rsETH, $292M gone. Suspeita-se do grupo Lazarus.
LayerZero: “O ataque não foi ao nosso protocolo, mas à infraestrutura. Como o KelpDAO usou um DVN 1-de-1, foi um incidente isolado”. Ou seja, confiaram em uma única rede de validadores, nossa sugestão era múltiplos DVN.
A comunidade está furiosa: “Sua infraestrutura RPC foi hackeada, vocês não podem culpar apenas o KelpDAO”. 47% do OApp ainda usa DVN 1-de-1. Risco de $4,5 bilhões.
3. Problema Estrutural: Arquitetura DVN
LayerZero afirma que é “segurança modular”: aplicações escolhem seus próprios DVN. Mas, se as configurações padrão forem fracas, os projetos acabam confiando em um único validador sem saber. Isso aconteceu com o KelpDAO. Os atacantes envenenaram os RPCs e fizeram aprovações de mensagens falsas.
Stani Kulechov alertou: “Explorações de pontes representam uma ameaça existencial para DeFi. Ronin, Poly Network, Nomad e agora as pontes baseadas na LayerZero estão na mira”.
Impacto no Mercado • Token ZRO: caiu 20% após o hack, variando entre $1,47 e $2,28. Apesar de uma alta de 5,18% nos últimos 3 dias, a tendência é de baixa. • Risco de TVL: mais de $4,5 bilhões em OApp, operando com DVN 1-de-1. Se um ataque semelhante acontecer novamente, o risco de contágio é alto. • Crise de Confiança: “Zero contagion” foi dito, mas a comunidade não está convencida. A segurança das pontes em DeFi é agora a prioridade número um.
Resumo: LayerZero diz que “a aplicação escolhe sua própria segurança”, mas as configurações padrão colocam bilhões em risco. A confissão do CEO sobre o Across foi bem-intencionada, mas a postura de “não somos responsáveis” após o KelpDAO gerou reações negativas. A segurança a nível de protocolo não se resolve apenas adicionando mais validadores. Auditorias, padrões e transparência em toda a indústria são essenciais.
#GateSquareMayTradingShare
#CompartilhamentoDeNegociaçõesDeMaioNoGateSquare
#LayerZeroCEOAdmitsProtocolFlaws
