LayerZero就2.92亿美元跨链资产被盗事件作出全面回应

针对4月18日发生的Kelp DAO跨链桥约2.92亿美元rsETH被盗事件，LayerZero于周五发布正式公告，首次公开承认其初期关于‘协议运行完全符合设计’的表述存在严重偏差，并对沟通策略进行深刻检讨。公司坦言：‘过去三周的应对方式极为失当。我们本应优先提供清晰透明的信息披露，而非延迟发布完整事后分析报告。’

攻击根源指向朝鲜黑客组织Lazarus，系统性验证漏洞暴露

据调查，此次攻击由朝鲜背景的Lazarus组织主导，其通过入侵去中心化验证节点网络中的内部RPC节点，并对第三方外部供应商实施分布式拒绝服务攻击，造成验证系统被迫依赖已遭破坏的基础设施。这一连锁反应使得伪造的跨链消息获得错误批准。公司进一步指出，允许特定验证节点成为高价值交易的唯一审批方是不可接受的设计缺陷，即便开发者拥有自主选择权，该配置本身即构成重大安全隐患。

单节点验证模式为何成为争议焦点？

本次声明标志着LayerZero立场的根本性转变。此前其将责任归因于Kelp DAO采用单一验证器部署方案，但后者反驳称官方文档与开发指引中该配置被默认推荐。数据显示，攻击发生时活跃应用中近半数（47%）仍使用相同模式。这揭示出跨链协议在默认安全设置上的普遍盲区——尽管强调模块化可配置性，多数开发者仍依赖预设模板，缺乏主动安全评估能力。公司强调，此次影响范围仅限单一应用，所涉资产占协议总桥接价值比例约为0.36%。

安全设计需以默认强约束为前提

跨链系统的整体安全性取决于其初始配置强度。若允许高价值操作仅由一个节点完成验证，则必然引入集中化风险，该风险可能横向蔓延至其他接入应用。

LayerZero披露三年前未公开的操作事故

公司另透露一起约三年半前未对外披露的安全事件：一名多签验证者曾误用生产级硬件钱包处理个人交易，而非专用设备。相关责任人已被撤换，涉事钱包已完成轮换，后续所有签名设备均已部署异常行为检测机制。该披露正值行业对多签治理流程展开审查之时。此前链上研究发现生产钱包出现非协议相关交易活动，首席执行官解释系前任验证者遗留的测试行为所致。

人为操作疏漏可能触发系统性安全危机

多签治理机制虽具抗单点故障优势，但一旦生产密钥与外部用途或私人行为产生交集，极易形成隐蔽攻击入口，构成潜在系统性威胁。

LayerZero启动全面安全架构升级计划

为杜绝类似风险，协议决定彻底禁用单一验证器配置。新默认规则要求主网至少启用五个验证节点，小规模链亦需不少于三个。同时，团队正开发基于Rust语言的第二代验证客户端，以增强客户端多样性。RPC架构将重构，实现内外部节点间更精细的权限隔离与仲裁控制。治理层面拟推出开源多签工具，将阈值从5中3提升至10中7，并支持签名者本地哈希交易后再签署，显著降低非法交易插入概率。此外，正在构建统一安全监控平台，供资产发行方自主设定防护参数并实时识别异常部署行为。

事件如何重塑LayerZero市场格局？

此次事件已对LayerZero在跨链领域的竞争地位造成实质性冲击。Kelp DAO本周宣布将核心基础设施迁移至Chainlink跨链协议，成为首个脱离其生态的主流项目。另一大型协议亦表示因安全担忧，将逾70亿美元代币化比特币资产移出当前链路。与此同时，由多方联合发起的资产恢复计划已募集超3亿美元加密资产。LayerZero通过捐赠及借贷形式贡献1万枚ETH，但相关借贷协议预计面临1.24亿至2.3亿美元坏账压力。公司表示，将在外部安全机构完成独立调查后，发布详尽事件分析报告以回应公众关切。