#LayerZeroCEOAdmitsProtocolFlaws #LayerZeroCEOAdmitsProtocolFlaws

LayerZero 執行長承認協議失敗，事後 $292M 黑客事件——但 Kelp DAO 表示「你批准了設置，現在卻在責怪」
數週來，LayerZero 指責 Kelp DAO 造成震撼 DeFi 的 2.92 億美元漏洞。 「他們使用了單一驗證器配置——我們曾警告過不要這樣做。」這是當時的說法。但現在，LayerZero 的執行長 Bryan Pellegrino 已公開承認協議層面的缺陷，承諾進行安全大整頓。而 Kelp DAO 則公布了可能徹底翻轉責任遊戲的證據。
讓我來拆解為何這對你曾信任的每一個跨鏈橋都如此重要。
🔥 改變一切的承認
5 月 4 日，Pellegrino 發布公開聲明，承認 LayerZero 在 Kelp DAO 被攻擊後的協議失誤，並承諾進行全面的安全改進。這與 LayerZero 4 月 20 日的事後分析形成了鮮明對比，當時他們將攻擊完全歸咎於 Kelp DAO 的「應用層」配置失誤——而非協議層問題。
為何會有轉變？因為證據變得無法忽視。
🔍 Kelp DAO 的毀滅性反駁
5 月 5 日，Kelp DAO 發布詳細回應，直接反駁 LayerZero 的核心主張。他們揭露了：
1. LayerZero 批准了他們現在責怪 Kelp DAO 的單一驗證器設置，並分享了與 LayerZero 團隊成員的私密通訊截圖，其中一位 LayerZero 工作人員明確表示：「使用預設值沒問題——[redacted] 這裡標註一下，因為他提到你可能想用自訂的 DVN 設置來驗證訊息，但這部分留給你們團隊決定！」所提到的「預設值」是指 LayerZero Labs 的單一驗證器 DVN 配置——正是 LayerZero 後來指出的，成為漏洞的關鍵設置。
2. 這個「危險」的配置是 LayerZero 出廠預設的設定，稱之為 Kelp 的單一驗證器是一個邊緣且不負責任的選擇。Kelp 的論點：這是平台的標準預設配置，已被數百個其他應用採用。如果大多數 LayerZero 整合都用單一驗證器，將失敗歸咎於「用戶錯誤」就像賣一輛沒有安全氣囊的車，卻怪司機沒裝一樣荒謬。
3. LayerZero 自身的基礎設施遭到破壞 攻擊成功的原因在於攻擊者入侵了兩個 LayerZero 依賴的 RPC 節點，並對其他節點進行了 DDoS 攻擊。LayerZero 的 DVN 基礎設施——用來驗證跨鏈訊息的系統——被攻破。Chainlink 社群聯絡人 Zach Rynes 直接指出：「LayerZero 正在推卸責任，聲稱他們自己的 DVN 節點基礎設施遭到破壞，導致 $290M 橋接漏洞。」
4. Kelp DAO 提出四個未被回答的問題 Kelp 提出了一些 LayerZero 尚未公開回答的具體問題：RPC 端點清單是如何被存取的？LayerZero 文件中的預設值如何與整個生態系統中大量的單一驗證器配置相符？為何監控未能偵測到基礎設施遭到破壞？被攻陷的節點在偽造訊息簽署前的存活時間有多長？
這些不是修辭性問題——它們是責任追究的要求，而 LayerZero 承認協議缺陷使得這些問題更難被迴避。
🧠 真正的教訓：程式碼風險與操作風險
OpenZeppelin 的安全分析指出了一個大多數人忽略的重點：Kelp DAO 的智能合約中沒有漏洞。程式碼經過審計，安全可靠。失敗的是橋接基礎設施的操作與整合設定——這些都超出了傳統的程式碼審查與審計範圍。
這是業界少有人談及的區別。你可以擁有完美審計的合約，但如果底層基礎設施有單點故障，也可能損失 2.92 億美元。LayerZero 的模型依賴去中心化驗證器網絡（DVNs）——但當預設配置是單一驗證器（即 LayerZero Labs 自身），"去中心化" 只是一個行銷詞，而非真正的安全保障。一個被攻陷的節點。一個偽造的訊息。損失 2.92 億美元。
📊 ZRO 價格影響——市場在投票
ZRO 現價為 1.395 美元，24 小時內下跌 -5.1%，30 天內下跌 -29.6%。技術面呈現明確的趨勢：
每日移動平均線全為空頭排列（MA7 < MA30 < MA120）——持續下跌
PDI < MDI，ADX 為 34.4——動能明顯下降
今日相較比特幣下跌 -4.4%——表現明顯落後
期貨未平倉合約在 24 小時內下降 -11.6%——多頭部位被清算，非新增
但：每日 MACD 剛形成金叉（DIF 上穿 DEA），15 分鐘 CCI/WR 進入超賣區——短期反彈潛力存在
市場已在反映名譽受損與不確定性。LayerZero 執行長承認協議缺陷是邁向負責任的第一步，但 Kelp DAO 的證據提出更嚴峻的問題：這曾經只是「用戶配置錯誤」嗎？還是從一開始，協議的預設設計就根本不安全？
⚡ 跨鏈基礎設施的啟示
1. 預設值比文件更重要。如果一個協議預設採用單一驗證器，這不僅是建議——而是它實際提供的安全等級。文件中說「你應該配置多驗證器」並不能保護依照預設值操作的用戶。系統的真正安全性取決於大多數用戶實際運行的配置，而非文件中所描述的理論可能。
2. 基礎設施風險在爆發前是隱形的。智能合約審計能找到程式碼漏洞，但無法偵測被破壞的 RPC 節點、DDoS 攻擊的驗證者，或訊息層中的單點信任。下一次重大 DeFi 攻擊很可能不是來自合約漏洞，而是來自合約依賴但無法控制的操作基礎設施。
3. 責任追究不能追溯。LayerZero 執行長的承認值得肯定，但是在數週推卸責任給 Kelp DAO 之後才來的。如果這份承認能在 4 月 20 日的事後分析時就出來——而不是在「Kelp 配置錯誤」的說法之後——社群的反應會截然不同。信任是在危機後的前 48 小時建立，而非第三週。
4. Kelp DAO 遷移至 Chainlink CCIP 是市場的裁決。Kelp 宣布將 rsETH 從 LayerZero 的 OFT 標準遷移到 Chainlink 的跨鏈互操作協議。當你最大的合作夥伴在一次漏洞後離開你的協議，這不僅是商業決策，更是安全的裁決——經過實戰測試，發現系統不足。
💡 結論
LayerZero 執行長承認協議缺陷是必要的一步——但只是第一步。真正的考驗是，LayerZero 是否能公開回答 Kelp DAO 的四個問題，徹底改革預設安全配置，並重建與整合者的信任，讓大家相信「去中心化驗證器」在預設只有一家公司驗證一切時，是否還有意義。
損失 2.92 億美元。合約中沒有漏洞。漏洞不在程式碼——而在信任模型。而所有採用類似架構的跨鏈橋都應該現在就問自己同樣的問題。
協議創建者是否應為不安全的預設值負責，還是配置超出出廠設定的責任永遠在用戶？這個辯論可能重塑每個橋接協議的安全架構——請在 👇 下方表達你的立場。
‍@Gate_Square
‍$ZRO $ETH