#LayerZeroCEOAdmitsProtocolFlaws — 破碎跨鏈信任的黑客攻擊，以及CEO的坦率認錯

ZRO 價格：$1.412 | 24小時：-3.22% | 30天：-32.34% | 市值：$292M
2026年5月4日，LayerZero Labs的CEO Bryan Pellegrino 在X上發布了一份未經篩選的原始聲明，震撼了跨鏈生態系統。他承認了一個沒有基礎設施CEO願意說的事情：「我錯了。」這一認錯是在2026年最大DeFi漏洞——價值2.92億美元的Kelp DAO的rsETH橋被攻破，暴露出LayerZero核心架構致命缺陷的兩週後。

以下是事件的完整經過、CEO的坦白，以及為何這對每個加密用戶都至關重要。

💥 攻擊詳情：2.92億美元在數分鐘內消失
2026年4月18日，UTC時間17:35，一名攻擊者對Kelp DAO的rsETH橋發動了毀滅性攻擊，這是一個由LayerZero訊息基礎設施支持的跨鏈資產。

攻擊機制：

攻擊者，被“初步信心”歸因於北韓的Lazarus集團（TraderTraitor子單元），攻破了LayerZero Labs依賴的兩個RPC節點
同時對剩餘的乾淨RPC節點進行DDoS攻擊，迫使系統切換到被污染的基礎設施
傳送一條偽造的跨鏈訊息，指示橋接提取116,500個rsETH（約合2.92億美元）
被盜的rsETH被轉移到Aave V3，用於借WETH，導致Aave凍結rsETH市場，並引發超過100億美元的資金外流
第二次攻擊，針對額外40,000個rsETH（約9500萬美元），在Kelp暫停合約並將攻擊者的錢包列入黑名單後被阻止
連鎖反應：

多個協議暫停了他們的LayerZero OFT橋
DeFi TVL下降約7%，至863億美元
此次攻擊是2026年最大規模的DeFi黑客事件，正值4月創紀錄的6.5億美元黑客月
關鍵漏洞：Kelp DAO運行的是1對1的DVN配置，意味著只有一個驗證者（LayerZero自己的DVN）在驗證數十億TVL的跨鏈訊息。當這個驗證者被攻破，沒有冗餘來捕捉偽造的訊息。

⚡ 指責遊戲：LayerZero對比Kelp DAO
LayerZero的初步事後分析將責任完全歸咎於Kelp：該協議“忽略了多驗證者的建議”，並選擇了一個有風險的1/1設置，違反建議。

Kelp DAO反擊，提出爆炸性反控：

1對1驗證者配置是LayerZero自己記錄的默認設定，而非Kelp獨立選擇的惡意配置
Kelp展示了Telegram對話截圖，顯示LayerZero團隊成員說：“使用默認設定沒問題，也在這裡標記$356M
，因為他提到你可能想用自定義DVN來驗證訊息，但這留給你的團隊決定！”有效地批准了該設置
被攻破的DVN是LayerZero自己的基礎設施，而非Kelp選擇的第三方驗證者
自2024年1月以來的通訊渠道從未提出具體建議來更改rsETH的DVN配置
公開數據顯示，約47%的LayerZero OApp合約都在運行1對1的DVN設置，Kelp的配置並非異常，而是常態
Kelp DAO的回應：完全退出LayerZero的OFT標準，轉而採用Chainlink的跨鏈互操作協議（CCIP）來進行未來的跨鏈操作。這是對LayerZero的直接競爭損失，他們最大的橋接客戶轉向了主要競爭對手。

🙏 CEO的認錯：“我錯了”
2026年5月4日，Pellegrino打破沉默，發表了一份個人聲明，標誌著LayerZero早期推諉立場的劇烈轉變：

三個關鍵承認：

“認知失調”關於用戶配置 他最初將LayerZero視為Gnosis Safe：穩固的基礎設施，應用自行設定配置。他假設沒有人會用風險較高的1/1驗證者來保障數十億TVL，尤其是LayerZero幫助主要應用實現安全配置。他的話：“我錯了。”幾乎一半的LayerZero OApps都在運行他認為沒人會用的相同配置。

安全變更溝通不良 LayerZero悄悄實施了更嚴格的措施（強制RPC仲裁、每條鏈需要多個RPC），干擾了客戶的業務運作。客戶“大聲抗議”了3-5分鐘，Pellegrino承認他們“完全正確”。在沒有透明溝通的情況下更改安全參數，當數十億資金依賴你的基礎設施時，是不可接受的。

客戶支持失敗 他為未能支持客戶道歉，感謝ZeroShadow、Aave和DeFiUnited等合作夥伴的追蹤和沒收攻擊者資金的努力，並承諾LayerZero Labs將全力服務資產發行者並推出“Zero”。

反應不一：一些社群成員讚揚誠實。另一些則稱這是“操控”責任，兩週的推諉並不能抹去最初的推諉。信任一旦破裂，僅靠一句道歉無法重建。

📉 市場影響：ZRO承壓
代幣數據自有說法：

ZRO 目前價值$1.412，24小時內下跌3.22%
30天內下跌-32.34%，是主要基礎設施代幣中表現最差的月度之一
90天內下跌-12.5%，損失超越短期恐慌
預計5月20日將解鎖2,571萬枚代幣，額外賣壓來襲
每週交易量相對市值較低，放大了價格波動
空頭壓力不僅來自黑客事件，也反映出對LayerZero的DVN架構是否能作為跨鏈DeFi骨幹的根本性質疑。

🔍 為何這超越LayerZero的重要性
此事件暴露了跨鏈基礎設施的三個系統性問題：

1. 默認配置是危險的默認值。當47%的應用都運行相同的脆弱配置，這不是用戶錯誤，而是設計失敗。基礎設施提供者必須將默認設置視為最重要的安全責任，因為用戶會傾向於選擇最少阻力的路徑。

2. 透明度在安全基礎設施中不是可選的。悄悄更改驗證參數而不通知受影響的客戶是不可接受的。當你的協議保障數十億資金時，每次配置變更都需要明確的溝通、遷移方案和過渡時間。

3. 單點故障的規模災難性。一個1對1的驗證者意味著一個被攻破的節點可以偽造整個橋的訊息。多驗證者設置，具有獨立安全域，不是奢侈品，而是任何處理大量TVL的協議的最低可行架構。

⚔️ 競爭格局轉變：Chainlink CCIP勝出
Kelp DAO轉向Chainlink CCIP是今年跨鏈基礎設施中最具影響力的競爭信號。當你最大的橋接客戶在安全失敗後轉投競爭對手，市場就將此視為對架構信任的裁決。CCIP的風險管理框架，配合獨立的預言機網絡、強制多驗證者配置和明確的風險限制，現在擁有一個強大的參考客戶，正是因為LayerZero的架構失敗。

🎯 總結
Pellegrino的認錯是邁向責任的步伐，但這是在兩週推諉責任、進一步侵蝕信任之後。真正的考驗不在於CEO說了什麼，而在於LayerZero會做什麼。是否“Zero”能帶來有意義的架構改革？仍在1/1設置的47%應用會在下一次攻擊前遷移嗎？溝通實踐會永久改變嗎？

這起價值2.92億美元的漏洞不僅抽走了資金，也抽走了對整個跨鏈驗證模型的信心。重建這種信心不僅需要道歉，更需要證明架構本身已經改變。

跨鏈基礎設施是DeFi的骨幹。當這個骨幹裂開，所有建立在其上的都會動搖。行業正密切關注LayerZero的下一步，你也應該如此。

[redacted]