#LayerZeroCEOAdmitsProtocolFlaws — 破碎跨链信任的黑客攻击，以及CEO的坦率忏悔

ZRO 价格：$1.412 | 24小时：-3.22% | 30天：-32.34% | 市值：$292M
2026年5月4日，LayerZero Labs CEO Bryan Pellegrino 在X平台发布了一份未经滤镜的原始声明，引发了跨链生态系统的震动。他承认了一件没有基础设施CEO愿意说的话：“我错了。”这一认错是在2026年最大DeFi漏洞——Kelp DAO的rsETH桥被盗取2.92亿美元，暴露出LayerZero核心架构致命缺陷的两周后。

以下是事件的详细分析，CEO的坦白，以及为何这对每个加密用户都至关重要。

💥 这次漏洞：2.92亿美元在几分钟内消失
2026年4月18日，协调世界时17:35，一名攻击者对Kelp DAO的rsETH桥发动了毁灭性打击——这是由LayerZero的消息基础设施支持的跨链资产。

攻击机制：

攻击者，被“初步信心”归咎于朝鲜的Lazarus集团（TraderTraitor子单位），攻破了LayerZero Labs依赖的两个RPC节点
同时对剩余的干净RPC节点进行DDoS攻击，迫使系统切换到被污染的基础设施
发送伪造的跨链消息，指示桥接提取116,500个rsETH（约合2.92亿美元）
被盗的rsETH被转移到Aave V3，用于借WETH，导致Aave冻结rsETH市场，引发超过100亿美元的资金外流
第二次攻击，目标是额外的40,000个rsETH（约9500万美元），在Kelp暂停合约并将攻击者的钱包列入黑名单后被阻止
连锁反应：

多个协议暂停了它们的LayerZero OFT桥
DeFi TVL（总锁仓价值）下降约7%，至863亿美元
此次漏洞成为2026年最大规模的DeFi黑客事件，也是4月创纪录的6.5亿美元黑客月的一部分
关键漏洞：Kelp DAO采用了1对1的DVN配置，意味着只有一个验证者（LayerZero Labs自己的DVN）在验证数十亿TVL的跨链消息。当这个验证者被攻破时，没有冗余机制检测伪造的消息。

⚡ 责任归咎：LayerZero与Kelp DAO
LayerZero的初步事后分析将责任归咎于Kelp：该协议“忽视了多验证者的建议”，选择了风险较高的1/1配置，违背了建议。

Kelp DAO反击，提出爆炸性反驳：

1对1验证器配置是LayerZero自己记录的默认设置，并非Kelp自主选择的异常配置
Kelp提供了Telegram交流截图，显示LayerZero团队成员表示：“使用默认设置没有问题，也在这里$356M
标记，因为他提到你可能想用自定义的DVN验证设置，但会留给你们团队决定！”实际上批准了该配置
被攻破的DVN是LayerZero自己的基础设施，而非Kelp选择的第三方验证者
自2024年1月以来的沟通渠道从未提出具体建议更改rsETH的DVN配置
公开数据显示，约47%的LayerZero应用合约采用1对1的DVN配置，Kelp的配置并非异类，而是常态
Kelp DAO的回应：完全迁移rsETH，放弃LayerZero的OFT标准，转而采用Chainlink的跨链互操作协议（CCIP）进行未来的跨链操作。这对LayerZero来说是直接的竞争损失——他们最大的桥接客户转向了主要竞争对手。

🙏 CEO的忏悔：“我错了”
2026年5月4日，Pellegrino打破沉默，发表了一份个人声明，标志着LayerZero早期推诿态度的重大转变：

三大关键承认：

关于用户配置的“认知失调”他最初将LayerZero视为Gnosis Safe：坚固的基础设施，应用程序自行设置配置。他假设没有人会用风险较高的1/1验证器配置来保障数十亿的TVL，尤其是LayerZero帮助主要应用实现安全配置。他的话：“我错了。”几乎一半的LayerZero应用都采用了他认为没人会用的配置。
安全变更沟通不畅LayerZero悄然实施了更严格的措施（强制RPC仲裁，要求每个链多次RPC验证），扰乱了客户的业务运营。客户“尖叫”着向Pellegrino求助3-5分钟，他承认他们“完全正确”。在没有透明沟通的情况下更改安全参数，数十亿资产的安全依赖于此，这是不能接受的。
客户支持失败他为未能保护客户道歉，感谢ZeroShadow、Aave和DeFiUnited等合作伙伴的追踪和没收攻击者资金的努力，并承诺LayerZero Labs将全力服务资产发行者并推出“Zero”。
反应不一：一些社区成员称赞其诚实。另一些则认为这是“操控”责任感，推卸责任两周后，初始的推诿并未消除信任危机。安全基础设施一旦破裂，信任就难以修复，单一的道歉无法弥补。

📉 市场影响：ZRO承压
代币数据讲述了自己的故事：

ZRO 价格为$1.412，24小时下跌3.22%
30天内下跌-32.34%，是主要基础设施代币中表现最差的月度之一
90天内下跌-12.5%，损失超越短期恐慌
预计5月20日将解锁2,571万枚代币，增加抛售压力
每周交易量相较市值偏低，放大了价格波动
看跌压力不仅源于黑客事件，还反映出对LayerZero DVN架构是否能作为跨链DeFi支柱的根本质疑。

🔍 这件事为何超越LayerZero的重要性
此事件暴露了跨链基础设施的三大系统性问题：

1. 默认配置是危险的默认值。当47%的应用采用相同的脆弱配置时，这不是用户错误，而是设计失败。基础设施提供商必须将默认设置视为最关键的安全责任，因为用户会倾向于选择最少阻力的路径。
2. 安全基础设施中透明度不是可选项。悄然更改验证参数而不通知受影响的客户是不可接受的。当你的协议保障数十亿资产时，每次配置变更都需要明确的沟通、迁移路径和过渡时间表。
3. 单点故障会造成灾难性扩展。1对1验证器意味着一个被攻破的节点可以伪造整个桥的消息。多验证者设置，具有独立安全域，不是奢侈品，而是任何处理大量TVL协议的最低可行架构。

⚔️ 竞争格局变化：Chainlink CCIP胜出
Kelp DAO迁移到Chainlink CCIP是今年跨链基础设施中最具影响力的竞争信号。当你最大的桥接客户在安全失败后转投竞争对手，市场就会将其视为对架构信任的裁决。CCIP的风险管理框架，配备独立的预言机网络、强制多验证者配置和明确的风险限制，现在拥有一个强有力的典范客户，正是因为LayerZero的架构失败而选择了它。

🎯 结论
Pellegrino的忏悔是迈向问责的一步，但在两周的推诿之后，信任进一步受损。真正的考验不在于CEO说了什么，而在于LayerZero会做什么。 “Zero”能否带来实质性的架构改革？仍在1/1配置的47%应用能否在下一次攻击前迁移？沟通实践会否永久改变？

这次2.92亿美元的漏洞不仅抽走了资金，也动摇了整个跨链验证模型的信心。重建信心不仅需要道歉，更需要证明架构本身已经改变。

跨链基础设施是DeFi的支柱。当这个支柱崩裂，所有建立在其上的都将动摇。行业正密切关注LayerZero的下一步行动，你也应如此。

[redacted]