#LayerZeroCEOAdmitsProtocolFlaws

#LayerZeroSecurityCrisis 🚨 | $292M 黑客曝光DeFi的薄弱环节

跨链的叙事刚刚遭遇重创。

2026年4月至5月揭示的不仅仅是一次漏洞——它暴露了DeFi在安全处理上的结构性弱点。

🔴 1. 首席执行官警告：“这绝不应该公开”

LayerZero首席执行官Bryan Pellegrino指出Across协议的代币合约存在关键问题：

一个敏感功能被设为公开

合约所有者可以清空任何钱包

Across和UMA合约都拥有无限铸币权限

这不仅仅是一个漏洞——这是设计层面的失败。

👉 建议的修复方案：

将所有权转移到不可变合约

永久移除铸币/销毁权限

因为一旦被利用，就没有恢复的路径

---

💥 2. $292M KelpDAO黑客事件——责任在谁？

大约在4月20日：

116,500 rsETH被转走（约2.92亿美元）

怀疑是Lazarus集团所为

LayerZero回应：

> “不是我们的协议——KelpDAO使用了一个一对一的DVN。”

翻译：
他们依赖单一验证者系统——风险巨大。

但社区强烈反对：👉 “如果你的基础设施允许弱默认设置，你就要承担责任。”

---

⚠️ 3. 真正的问题：DVN架构

LayerZero推广“模块化安全”
→ 应用选择自己的验证者（DVN）

但问题在于：

许多项目对风险理解不足

默认设置常偏向中心化（一对一DVN）

攻击者可以污染RPC并批准伪造的跨链消息

📊 当前风险：

约47%的应用仍使用一对一DVN

超过45亿美元的TVL暴露

---

📉 市场反应

ZRO代币在黑客事件后下跌约20%

短期反弹≠趋势逆转

对跨链安全的信心受到动摇

---

🧠 更大的格局

这不仅仅是LayerZero的问题。
这是DeFi桥接安全问题的再次浮现。

从：

Ronin

Poly Network

Nomad

到现在：

LayerZero生态系统

相同的模式。不同的周期。

---

⚡ 最后观点

LayerZero表示：
👉 “应用选择自己的安全”

但现实是：
👉 不良默认=系统性风险

DeFi中的安全不再是可选或模块化的。
它必须标准化、审计并在协议层面强制执行。

因为在跨链中……

一个薄弱环节不仅会破坏一个项目——它威胁整个生态系统。