本文摘要由 AI 總結生成#LayerZeroCEOAdmitsProtocolFlaws
LayerZero CEO 承認協議失誤後的 $292M 黑客事件 — 但 Kelp DAO 表示「你批准了設置,現在卻在責怪」
數週來,LayerZero 指責 Kelp DAO 造成了震撼 DeFi 的 2.92 億美元漏洞。 「他們使用了單一驗證器配置 — 我們曾警告過不要這樣做。」這是當時的說法。但現在,LayerZero 的 CEO Bryan Pellegrino 已公開承認協議層面的缺陷,承諾進行安全大整修。而 Kelp DAO 則公布了可能徹底翻轉責任遊戲的證據。
讓我來拆解為何這對你曾信任的每一個跨鏈橋都如此重要。
🔥 改變一切的承認
5 月 4 日,Pellegrino 發表公開聲明,承認 LayerZero 在 Kelp DAO 被攻擊後的協議失誤,並承諾進行全面的安全升級。這與 LayerZero 4 月 20 日的事後檢討截然不同,當時將攻擊完全歸因於 Kelp DAO 的「應用層」配置失誤 — 而非協議層問題。
為何會有轉變?因為證據變得無法忽視。
🔍 Kelp DAO 的毀滅性反駁
5 月 5 日,Kelp DAO 發布詳細回應,直接反駁 LayerZero 的核心主張。他們揭露了:
1. LayerZero 批准了他們現在責怪 Kelp DAO 的單一驗證器設置,並分享了與 LayerZero 團隊成員的私密通訊截圖,其中一名 LayerZero 工作人員明確表示:「使用預設值沒問題 — 這裡標記 [redacted],因為他提到你可能想用自訂的 DVN 設置來驗證訊息,但這交由你們團隊決定!」所提到的「預設」是指 LayerZero Labs 的單一驗證器 DVN 配置 — 正是 LayerZero 後來指出為漏洞的設定。
2. 這個「危險」的配置是 LayerZero 出廠的預設設定,稱之為 Kelp 的單一驗證器,是一個邊緣且不負責任的選擇。Kelp 的論點:這是平台的標準預設配置,已被數百個應用採用。如果大多數 LayerZero 整合都用單一驗證器,將失敗歸咎於「用戶錯誤」就像賣一輛沒有安全氣囊的車,卻怪駕駛沒裝一樣荒謬。
3. LayerZero 自身基礎設施遭入侵 攻擊成功是因為攻擊者入侵了兩個 LayerZero 依賴的 RPC 節點,並對其他節點進行了 DDoS。LayerZero 的 DVN 基礎設施 — 這個用來驗證跨鏈訊息的系統 — 被攻破。Chainlink 社群聯絡人 Zach Rynes 直接指出:「LayerZero 正在推卸責任,聲稱他們自己的 DVN 節點基礎設施遭入侵,導致 $290M 橋接漏洞。」
4. Kelp DAO 提出四個未被回答的問題 Kelp 提出 LayerZero 尚未公開回答的具體問題:RPC 端點清單是如何被存取的?LayerZero 的文件預設值如何與整個生態系統中大量的單一驗證器配置相符?為何監控未能偵測到基礎設施遭入侵?被偽造訊息簽署前,受損節點的存活時間有多長?
這些不是修辭性問題 — 它們是責任追究的要求,而 LayerZero 承認協議缺陷使得這些問題更難被迴避。
🧠 真正的教訓:程式碼風險與操作風險
OpenZeppelin 的安全分析指出了一個大多數人忽略的重點:Kelp DAO 的智能合約中沒有漏洞。程式碼經過審計,安全可靠。失敗的是橋接基礎設施的操作與整合設定 — 這些都超出了傳統的程式碼審查與審計範圍。
這是業界少談的區別。你可以擁有完美審計的合約,但如果底層基礎設施有單點故障,也可能損失 2.92 億美元。LayerZero 的模型依賴去中心化驗證網路(DVNs)— 但當預設配置是單一驗證器(即 LayerZero Labs 自身),「去中心化」就只是一個行銷詞,而非安全現實。一個被攻破的節點。一個偽造的訊息。損失 2.92 億美元。
📊 ZRO 價格影響 — 市場在投票
ZRO 現價為 1.395 美元,24 小時內下跌 -5.1%,30 天內下跌 -29.6%。技術面呈現明確趨勢:
每日移動平均線全為空頭排列(MA7 < MA30 < MA120)— 持續下跌
PDI < MDI,ADX 為 34.4 — 強烈的下行動能
今日相對 BTC 跌 -4.4% — 明顯表現不佳
期貨未平倉合約在 24 小時內下降 -11.6% — 持倉被清算,非新增
但:每日 MACD 剛形成金叉(DIF 上穿 DEA),15 分鐘 CCI/WR 進入超賣區 — 短期反彈潛力存在
市場已反映名譽受損與不確定性。LayerZero CEO 承認協議缺陷是邁向問責的步伐,但 Kelp DAO 的證據提出更嚴峻的問題:這真的只是「用戶配置錯誤」嗎?還是從一開始,協議的預設設計就根本不安全?
⚡ 跨鏈基礎設施的啟示
1. 預設值比文件更重要。如果一個協議預設採用單一驗證器,這不僅是建議 — 代表它實際提供的安全等級。文件中說「你應該配置多驗證器」並不能保護依照預設值操作的用戶。系統的真正安全性取決於大多數用戶實際運行的配置,而非文件中所說的可行方案。
2. 基礎設施風險在爆發前是看不見的。智能合約審計能找出程式碼漏洞,但無法偵測被入侵的 RPC 節點、DDoS 攻擊的驗證者,或訊息層中的單點信任。下一次重大 DeFi 攻擊,可能不會來自合約漏洞,而是來自合約依賴但無法控制的操作基礎設施。
3. 責任追究不能追溯。LayerZero CEO 的承認值得肯定,但是在數週推卸責任給 Kelp DAO 之後才來的。如果這份承認能在 4 月 20 日的事後檢討時就出來 — 而不是在「Kelp 配置錯誤」的說法之後 — 社群的反應會截然不同。信任是在危機後的前 48 小時建立,而非在第三週。
4. Kelp DAO 遷移到 Chainlink CCIP 是市場的裁決。Kelp 宣布將 rsETH 從 LayerZero 的 OFT 標準遷移到 Chainlink 的跨鏈互操作協議。當你最大的整合夥伴在一次漏洞後離開你的協議,這不僅是商業決策,更是來自經過實戰測試、發現系統不足的安全裁決。
💡 結論
LayerZero CEO 承認協議缺陷是必要的一步 — 但只是第一步。真正的考驗是,LayerZero 是否能公開回答 Kelp DAO 的四個問題,徹底改革預設安全配置,並重建與整合者的信任,讓大家質疑「去中心化驗證器」在預設只有一家公司驗證一切時是否仍有意義。
損失 2.92 億美元。合約中沒有漏洞。漏洞不在程式碼 — 而在信任模型。而所有採用類似架構的跨鏈橋,都應該現在就問自己同樣的問題。
協議創建者是否應為不安全的預設負責,還是配置超出出貨範圍的責任都在用戶?這個辯論可能重塑每個橋接協議的安全架構 — 在下面留言你的立場 👇
@Gate_Square
$ZRO $ETH
LayerZero CEO 承認協議失誤後的 $292M 黑客事件 — 但 Kelp DAO 表示「你批准了設置,現在卻在責怪」
數週來,LayerZero 指責 Kelp DAO 造成了震撼 DeFi 的 2.92 億美元漏洞。 「他們使用了單一驗證器配置 — 我們曾警告過不要這樣做。」這是當時的說法。但現在,LayerZero 的 CEO Bryan Pellegrino 已公開承認協議層面的缺陷,承諾進行安全大整修。而 Kelp DAO 則公布了可能徹底翻轉責任遊戲的證據。
讓我來拆解為何這對你曾信任的每一個跨鏈橋都如此重要。
🔥 改變一切的承認
5 月 4 日,Pellegrino 發表公開聲明,承認 LayerZero 在 Kelp DAO 被攻擊後的協議失誤,並承諾進行全面的安全升級。這與 LayerZero 4 月 20 日的事後檢討截然不同,當時將攻擊完全歸因於 Kelp DAO 的「應用層」配置失誤 — 而非協議層問題。
為何會有轉變?因為證據變得無法忽視。
🔍 Kelp DAO 的毀滅性反駁
5 月 5 日,Kelp DAO 發布詳細回應,直接反駁 LayerZero 的核心主張。他們揭露了:
1. LayerZero 批准了他們現在責怪 Kelp DAO 的單一驗證器設置,並分享了與 LayerZero 團隊成員的私密通訊截圖,其中一名 LayerZero 工作人員明確表示:「使用預設值沒問題 — 這裡標記 [redacted],因為他提到你可能想用自訂的 DVN 設置來驗證訊息,但這交由你們團隊決定!」所提到的「預設」是指 LayerZero Labs 的單一驗證器 DVN 配置 — 正是 LayerZero 後來指出為漏洞的設定。
2. 這個「危險」的配置是 LayerZero 出廠的預設設定,稱之為 Kelp 的單一驗證器,是一個邊緣且不負責任的選擇。Kelp 的論點:這是平台的標準預設配置,已被數百個應用採用。如果大多數 LayerZero 整合都用單一驗證器,將失敗歸咎於「用戶錯誤」就像賣一輛沒有安全氣囊的車,卻怪駕駛沒裝一樣荒謬。
3. LayerZero 自身基礎設施遭入侵 攻擊成功是因為攻擊者入侵了兩個 LayerZero 依賴的 RPC 節點,並對其他節點進行了 DDoS。LayerZero 的 DVN 基礎設施 — 這個用來驗證跨鏈訊息的系統 — 被攻破。Chainlink 社群聯絡人 Zach Rynes 直接指出:「LayerZero 正在推卸責任,聲稱他們自己的 DVN 節點基礎設施遭入侵,導致 $290M 橋接漏洞。」
4. Kelp DAO 提出四個未被回答的問題 Kelp 提出 LayerZero 尚未公開回答的具體問題:RPC 端點清單是如何被存取的?LayerZero 的文件預設值如何與整個生態系統中大量的單一驗證器配置相符?為何監控未能偵測到基礎設施遭入侵?被偽造訊息簽署前,受損節點的存活時間有多長?
這些不是修辭性問題 — 它們是責任追究的要求,而 LayerZero 承認協議缺陷使得這些問題更難被迴避。
🧠 真正的教訓:程式碼風險與操作風險
OpenZeppelin 的安全分析指出了一個大多數人忽略的重點:Kelp DAO 的智能合約中沒有漏洞。程式碼經過審計,安全可靠。失敗的是橋接基礎設施的操作與整合設定 — 這些都超出了傳統的程式碼審查與審計範圍。
這是業界少談的區別。你可以擁有完美審計的合約,但如果底層基礎設施有單點故障,也可能損失 2.92 億美元。LayerZero 的模型依賴去中心化驗證網路(DVNs)— 但當預設配置是單一驗證器(即 LayerZero Labs 自身),「去中心化」就只是一個行銷詞,而非安全現實。一個被攻破的節點。一個偽造的訊息。損失 2.92 億美元。
📊 ZRO 價格影響 — 市場在投票
ZRO 現價為 1.395 美元,24 小時內下跌 -5.1%,30 天內下跌 -29.6%。技術面呈現明確趨勢:
每日移動平均線全為空頭排列(MA7 < MA30 < MA120)— 持續下跌
PDI < MDI,ADX 為 34.4 — 強烈的下行動能
今日相對 BTC 跌 -4.4% — 明顯表現不佳
期貨未平倉合約在 24 小時內下降 -11.6% — 持倉被清算,非新增
但:每日 MACD 剛形成金叉(DIF 上穿 DEA),15 分鐘 CCI/WR 進入超賣區 — 短期反彈潛力存在
市場已反映名譽受損與不確定性。LayerZero CEO 承認協議缺陷是邁向問責的步伐,但 Kelp DAO 的證據提出更嚴峻的問題:這真的只是「用戶配置錯誤」嗎?還是從一開始,協議的預設設計就根本不安全?
⚡ 跨鏈基礎設施的啟示
1. 預設值比文件更重要。如果一個協議預設採用單一驗證器,這不僅是建議 — 代表它實際提供的安全等級。文件中說「你應該配置多驗證器」並不能保護依照預設值操作的用戶。系統的真正安全性取決於大多數用戶實際運行的配置,而非文件中所說的可行方案。
2. 基礎設施風險在爆發前是看不見的。智能合約審計能找出程式碼漏洞,但無法偵測被入侵的 RPC 節點、DDoS 攻擊的驗證者,或訊息層中的單點信任。下一次重大 DeFi 攻擊,可能不會來自合約漏洞,而是來自合約依賴但無法控制的操作基礎設施。
3. 責任追究不能追溯。LayerZero CEO 的承認值得肯定,但是在數週推卸責任給 Kelp DAO 之後才來的。如果這份承認能在 4 月 20 日的事後檢討時就出來 — 而不是在「Kelp 配置錯誤」的說法之後 — 社群的反應會截然不同。信任是在危機後的前 48 小時建立,而非在第三週。
4. Kelp DAO 遷移到 Chainlink CCIP 是市場的裁決。Kelp 宣布將 rsETH 從 LayerZero 的 OFT 標準遷移到 Chainlink 的跨鏈互操作協議。當你最大的整合夥伴在一次漏洞後離開你的協議,這不僅是商業決策,更是來自經過實戰測試、發現系統不足的安全裁決。
💡 結論
LayerZero CEO 承認協議缺陷是必要的一步 — 但只是第一步。真正的考驗是,LayerZero 是否能公開回答 Kelp DAO 的四個問題,徹底改革預設安全配置,並重建與整合者的信任,讓大家質疑「去中心化驗證器」在預設只有一家公司驗證一切時是否仍有意義。
損失 2.92 億美元。合約中沒有漏洞。漏洞不在程式碼 — 而在信任模型。而所有採用類似架構的跨鏈橋,都應該現在就問自己同樣的問題。
協議創建者是否應為不安全的預設負責,還是配置超出出貨範圍的責任都在用戶?這個辯論可能重塑每個橋接協議的安全架構 — 在下面留言你的立場 👇
@Gate_Square
$ZRO $ETH
