#LayerZeroCEOAdmitsProtocolFlaws — 破碎跨鏈信任的黑客攻擊,以及CEO的坦率認錯
ZRO 價格:$1.412 | 24小時:-3.22% | 30天:-32.34% | 市值:$292M
2026年5月4日,LayerZero Labs的CEO Bryan Pellegrino 在X上發布了一份未經篩選的原始聲明,震撼了跨鏈生態系統。他承認了一個沒有基礎設施CEO願意說的事情:「我錯了。」這一認錯是在2026年最大DeFi漏洞——價值2.92億美元的Kelp DAO的rsETH橋被攻破,暴露出LayerZero核心架構致命缺陷的兩週後。
以下是事件的完整經過、CEO的坦白,以及為何這對每個加密用戶都至關重要。
💥 攻擊詳情:2.92億美元在數分鐘內消失
2026年4月18日,UTC時間17:35,一名攻擊者對Kelp DAO的rsETH橋發動了毀滅性攻擊,這是一個由LayerZero訊息基礎設施支持的跨鏈資產。
攻擊機制:
攻擊者,被“初步信心”歸因於北韓的Lazarus集團(TraderTraitor子單元),攻破了LayerZero Labs依賴的兩個RPC節點
同時對剩餘的乾淨RPC節點進行DDoS攻擊,迫使系統切換到被污染的基礎設施
傳送一條偽造的跨鏈訊息,指示橋接提取116,500個rsETH(約合2.92億美元)
被盜的rsETH被轉移到Aave V3,用於借WETH,導致Aave凍結rsETH市場,並引發超過100億美元的資金外流
第二次攻擊,針對額外40,000個rsETH(約9500萬美元),在Kelp暫停合約並將攻擊者的錢包列入黑名單後被阻止
連鎖反應:
多個協議暫停了他們的LayerZero OFT橋
DeFi TVL下降約7%,至863億美元
此次攻擊是2026年最大規模的DeFi黑客事件,正值4月創紀錄的6.5億美元黑客月
關鍵漏洞:Kelp DAO運行的是1對1的DVN配置,意味著只有一個驗證者(LayerZero自己的DVN)在驗證數十億TVL的跨鏈訊息。當這個驗證者被攻破,沒有冗餘來捕捉偽造的訊息。
⚡ 指責遊戲:LayerZero對比Kelp DAO
LayerZero的初步事後分析將責任完全歸咎於Kelp:該協議“忽略了多驗證者的建議”,並選擇了一個有風險的1/1設置,違反建議。
Kelp DAO反擊,提出爆炸性反控:
1對1驗證者配置是LayerZero自己記錄的默認設定,而非Kelp獨立選擇的惡意配置
Kelp展示了Telegram對話截圖,顯示LayerZero團隊成員說:“使用默認設定沒問題,也在這裡標記$356M
,因為他提到你可能想用自定義DVN來驗證訊息,但這留給你的團隊決定!”有效地批准了該設置
被攻破的DVN是LayerZero自己的基礎設施,而非Kelp選擇的第三方驗證者
自2024年1月以來的通訊渠道從未提出具體建議來更改rsETH的DVN配置
公開數據顯示,約47%的LayerZero OApp合約都在運行1對1的DVN設置,Kelp的配置並非異常,而是常態
Kelp DAO的回應:完全退出LayerZero的OFT標準,轉而採用Chainlink的跨鏈互操作協議(CCIP)來進行未來的跨鏈操作。這是對LayerZero的直接競爭損失,他們最大的橋接客戶轉向了主要競爭對手。
🙏 CEO的認錯:“我錯了”
2026年5月4日,Pellegrino打破沉默,發表了一份個人聲明,標誌著LayerZero早期推諉立場的劇烈轉變:
三個關鍵承認:
“認知失調”關於用戶配置 他最初將LayerZero視為Gnosis Safe:穩固的基礎設施,應用自行設定配置。他假設沒有人會用風險較高的1/1驗證者來保障數十億TVL,尤其是LayerZero幫助主要應用實現安全配置。他的話:“我錯了。”幾乎一半的LayerZero OApps都在運行他認為沒人會用的相同配置。
安全變更溝通不良 LayerZero悄悄實施了更嚴格的措施(強制RPC仲裁、每條鏈需要多個RPC),干擾了客戶的業務運作。客戶“大聲抗議”了3-5分鐘,Pellegrino承認他們“完全正確”。在沒有透明溝通的情況下更改安全參數,當數十億資金依賴你的基礎設施時,是不可接受的。
客戶支持失敗 他為未能支持客戶道歉,感謝ZeroShadow、Aave和DeFiUnited等合作夥伴的追蹤和沒收攻擊者資金的努力,並承諾LayerZero Labs將全力服務資產發行者並推出“Zero”。
反應不一:一些社群成員讚揚誠實。另一些則稱這是“操控”責任,兩週的推諉並不能抹去最初的推諉。信任一旦破裂,僅靠一句道歉無法重建。
📉 市場影響:ZRO承壓
代幣數據自有說法:
ZRO 目前價值$1.412,24小時內下跌3.22%
30天內下跌-32.34%,是主要基礎設施代幣中表現最差的月度之一
90天內下跌-12.5%,損失超越短期恐慌
預計5月20日將解鎖2,571萬枚代幣,額外賣壓來襲
每週交易量相對市值較低,放大了價格波動
空頭壓力不僅來自黑客事件,也反映出對LayerZero的DVN架構是否能作為跨鏈DeFi骨幹的根本性質疑。
🔍 為何這超越LayerZero的重要性
此事件暴露了跨鏈基礎設施的三個系統性問題:
1. 默認配置是危險的默認值。當47%的應用都運行相同的脆弱配置,這不是用戶錯誤,而是設計失敗。基礎設施提供者必須將默認設置視為最重要的安全責任,因為用戶會傾向於選擇最少阻力的路徑。
2. 透明度在安全基礎設施中不是可選的。悄悄更改驗證參數而不通知受影響的客戶是不可接受的。當你的協議保障數十億資金時,每次配置變更都需要明確的溝通、遷移方案和過渡時間。
3. 單點故障的規模災難性。一個1對1的驗證者意味著一個被攻破的節點可以偽造整個橋的訊息。多驗證者設置,具有獨立安全域,不是奢侈品,而是任何處理大量TVL的協議的最低可行架構。
⚔️ 競爭格局轉變:Chainlink CCIP勝出
Kelp DAO轉向Chainlink CCIP是今年跨鏈基礎設施中最具影響力的競爭信號。當你最大的橋接客戶在安全失敗後轉投競爭對手,市場就將此視為對架構信任的裁決。CCIP的風險管理框架,配合獨立的預言機網絡、強制多驗證者配置和明確的風險限制,現在擁有一個強大的參考客戶,正是因為LayerZero的架構失敗。
🎯 總結
Pellegrino的認錯是邁向責任的步伐,但這是在兩週推諉責任、進一步侵蝕信任之後。真正的考驗不在於CEO說了什麼,而在於LayerZero會做什麼。是否“Zero”能帶來有意義的架構改革?仍在1/1設置的47%應用會在下一次攻擊前遷移嗎?溝通實踐會永久改變嗎?
這起價值2.92億美元的漏洞不僅抽走了資金,也抽走了對整個跨鏈驗證模型的信心。重建這種信心不僅需要道歉,更需要證明架構本身已經改變。
跨鏈基礎設施是DeFi的骨幹。當這個骨幹裂開,所有建立在其上的都會動搖。行業正密切關注LayerZero的下一步,你也應該如此。
[redacted]
ZRO 價格:$1.412 | 24小時:-3.22% | 30天:-32.34% | 市值:$292M
2026年5月4日,LayerZero Labs的CEO Bryan Pellegrino 在X上發布了一份未經篩選的原始聲明,震撼了跨鏈生態系統。他承認了一個沒有基礎設施CEO願意說的事情:「我錯了。」這一認錯是在2026年最大DeFi漏洞——價值2.92億美元的Kelp DAO的rsETH橋被攻破,暴露出LayerZero核心架構致命缺陷的兩週後。
以下是事件的完整經過、CEO的坦白,以及為何這對每個加密用戶都至關重要。
💥 攻擊詳情:2.92億美元在數分鐘內消失
2026年4月18日,UTC時間17:35,一名攻擊者對Kelp DAO的rsETH橋發動了毀滅性攻擊,這是一個由LayerZero訊息基礎設施支持的跨鏈資產。
攻擊機制:
攻擊者,被“初步信心”歸因於北韓的Lazarus集團(TraderTraitor子單元),攻破了LayerZero Labs依賴的兩個RPC節點
同時對剩餘的乾淨RPC節點進行DDoS攻擊,迫使系統切換到被污染的基礎設施
傳送一條偽造的跨鏈訊息,指示橋接提取116,500個rsETH(約合2.92億美元)
被盜的rsETH被轉移到Aave V3,用於借WETH,導致Aave凍結rsETH市場,並引發超過100億美元的資金外流
第二次攻擊,針對額外40,000個rsETH(約9500萬美元),在Kelp暫停合約並將攻擊者的錢包列入黑名單後被阻止
連鎖反應:
多個協議暫停了他們的LayerZero OFT橋
DeFi TVL下降約7%,至863億美元
此次攻擊是2026年最大規模的DeFi黑客事件,正值4月創紀錄的6.5億美元黑客月
關鍵漏洞:Kelp DAO運行的是1對1的DVN配置,意味著只有一個驗證者(LayerZero自己的DVN)在驗證數十億TVL的跨鏈訊息。當這個驗證者被攻破,沒有冗餘來捕捉偽造的訊息。
⚡ 指責遊戲:LayerZero對比Kelp DAO
LayerZero的初步事後分析將責任完全歸咎於Kelp:該協議“忽略了多驗證者的建議”,並選擇了一個有風險的1/1設置,違反建議。
Kelp DAO反擊,提出爆炸性反控:
1對1驗證者配置是LayerZero自己記錄的默認設定,而非Kelp獨立選擇的惡意配置
Kelp展示了Telegram對話截圖,顯示LayerZero團隊成員說:“使用默認設定沒問題,也在這裡標記$356M
,因為他提到你可能想用自定義DVN來驗證訊息,但這留給你的團隊決定!”有效地批准了該設置
被攻破的DVN是LayerZero自己的基礎設施,而非Kelp選擇的第三方驗證者
自2024年1月以來的通訊渠道從未提出具體建議來更改rsETH的DVN配置
公開數據顯示,約47%的LayerZero OApp合約都在運行1對1的DVN設置,Kelp的配置並非異常,而是常態
Kelp DAO的回應:完全退出LayerZero的OFT標準,轉而採用Chainlink的跨鏈互操作協議(CCIP)來進行未來的跨鏈操作。這是對LayerZero的直接競爭損失,他們最大的橋接客戶轉向了主要競爭對手。
🙏 CEO的認錯:“我錯了”
2026年5月4日,Pellegrino打破沉默,發表了一份個人聲明,標誌著LayerZero早期推諉立場的劇烈轉變:
三個關鍵承認:
“認知失調”關於用戶配置 他最初將LayerZero視為Gnosis Safe:穩固的基礎設施,應用自行設定配置。他假設沒有人會用風險較高的1/1驗證者來保障數十億TVL,尤其是LayerZero幫助主要應用實現安全配置。他的話:“我錯了。”幾乎一半的LayerZero OApps都在運行他認為沒人會用的相同配置。
安全變更溝通不良 LayerZero悄悄實施了更嚴格的措施(強制RPC仲裁、每條鏈需要多個RPC),干擾了客戶的業務運作。客戶“大聲抗議”了3-5分鐘,Pellegrino承認他們“完全正確”。在沒有透明溝通的情況下更改安全參數,當數十億資金依賴你的基礎設施時,是不可接受的。
客戶支持失敗 他為未能支持客戶道歉,感謝ZeroShadow、Aave和DeFiUnited等合作夥伴的追蹤和沒收攻擊者資金的努力,並承諾LayerZero Labs將全力服務資產發行者並推出“Zero”。
反應不一:一些社群成員讚揚誠實。另一些則稱這是“操控”責任,兩週的推諉並不能抹去最初的推諉。信任一旦破裂,僅靠一句道歉無法重建。
📉 市場影響:ZRO承壓
代幣數據自有說法:
ZRO 目前價值$1.412,24小時內下跌3.22%
30天內下跌-32.34%,是主要基礎設施代幣中表現最差的月度之一
90天內下跌-12.5%,損失超越短期恐慌
預計5月20日將解鎖2,571萬枚代幣,額外賣壓來襲
每週交易量相對市值較低,放大了價格波動
空頭壓力不僅來自黑客事件,也反映出對LayerZero的DVN架構是否能作為跨鏈DeFi骨幹的根本性質疑。
🔍 為何這超越LayerZero的重要性
此事件暴露了跨鏈基礎設施的三個系統性問題:
1. 默認配置是危險的默認值。當47%的應用都運行相同的脆弱配置,這不是用戶錯誤,而是設計失敗。基礎設施提供者必須將默認設置視為最重要的安全責任,因為用戶會傾向於選擇最少阻力的路徑。
2. 透明度在安全基礎設施中不是可選的。悄悄更改驗證參數而不通知受影響的客戶是不可接受的。當你的協議保障數十億資金時,每次配置變更都需要明確的溝通、遷移方案和過渡時間。
3. 單點故障的規模災難性。一個1對1的驗證者意味著一個被攻破的節點可以偽造整個橋的訊息。多驗證者設置,具有獨立安全域,不是奢侈品,而是任何處理大量TVL的協議的最低可行架構。
⚔️ 競爭格局轉變:Chainlink CCIP勝出
Kelp DAO轉向Chainlink CCIP是今年跨鏈基礎設施中最具影響力的競爭信號。當你最大的橋接客戶在安全失敗後轉投競爭對手,市場就將此視為對架構信任的裁決。CCIP的風險管理框架,配合獨立的預言機網絡、強制多驗證者配置和明確的風險限制,現在擁有一個強大的參考客戶,正是因為LayerZero的架構失敗。
🎯 總結
Pellegrino的認錯是邁向責任的步伐,但這是在兩週推諉責任、進一步侵蝕信任之後。真正的考驗不在於CEO說了什麼,而在於LayerZero會做什麼。是否“Zero”能帶來有意義的架構改革?仍在1/1設置的47%應用會在下一次攻擊前遷移嗎?溝通實踐會永久改變嗎?
這起價值2.92億美元的漏洞不僅抽走了資金,也抽走了對整個跨鏈驗證模型的信心。重建這種信心不僅需要道歉,更需要證明架構本身已經改變。
跨鏈基礎設施是DeFi的骨幹。當這個骨幹裂開,所有建立在其上的都會動搖。行業正密切關注LayerZero的下一步,你也應該如此。
[redacted]
