[ND MAGAZINE] LayerZero 就 2.92 億美元 Kelp DAO 遭黑客攻擊應對失當正式道歉... 承認單一驗證者設置過失

2026 年 5 月 9 日，LayerZero Labs 就 2.92 億美元 Kelp DAO 遭黑客攻擊事件的應對過程中的過失表示承認，並發表正式道歉聲明。這標誌著其態度從事件初期將責任歸咎於應用程式設置錯誤的防禦性立場完全轉向，正式承認了單一驗證者（single-verifier）配置及內部基礎設施管理的失敗。

此次道歉結束了過去幾週 LayerZero 與 Kelp DAO 之間的公開衝突。Kelp DAO 曾批評 LayerZero 推卸責任，並已於 2026 年 5 月 5 日宣佈將服務遷移至競爭對手 Chainlink 的 CCIP。

LayerZero 在 2026 年 5 月 9 日的聲明中承認了在設置單一驗證網絡（DVN）過程中的錯誤，並透露其內部 RPC 基礎設施故障是導致黑客攻擊的決定性原因。特別是，對於在初期應對過程中強調協議本身無缺陷而給用戶帶來困擾，公司表示深表遺憾。

「我們在處理 Kelp DAO 事件的過程中犯下了明顯失誤，未能充分管理單一驗證者設置的風險。對於內部基礎設施的脆弱性暴露給攻擊者，我們深感責任重大。」

此事件起源於 2026 年 4 月 18 日發生的 116,500 rsETH 被盜事件。當時攻擊者盜取了價值約 2.92 億美元的資產，安全專家指出北韓黑客組織 Lazarus Group 是此次攻擊的幕後黑手。

單一驗證者脆弱性與技術缺陷的真相

根據技術分析，Kelp DAO 的 rsETH 適配器被設置為僅接受單一驗證者的消息。攻擊者在打擊 LayerZero 內部 RPC 基礎設施的同時，對外部 RPC 提供商發動了分佈式阻斷服務（DDoS）攻擊使系統癱瘓，從而使虛假消息在未經驗證的情況下通過。

• rsETH 適配器的 1對1 驗證網絡（DVN）設置錯誤
• 針對內部 RPC 基礎設施的精確打擊及對外部服務的 DDoS 攻擊並行
• 初期應對不力，曾將問題歸咎於應用層的設置問題

LayerZero 在此次道歉信中還披露了此前未報告的內部運營漏洞。據悉，其中一名多重簽名（Multisig）簽署人為了個人交易使用了運營用的硬件錢包，這被指為團隊整體運營安全管理鬆懈的典型案例。

此次黑客攻擊對 DeFi 借貸協議 Aave 造成了巨大衝擊。雖然 Aave 方面澄清智能合約本身並無缺陷，但由於被盜資產價值的波動，估計產生了約 1.77 億美元至 2.9 億美元的壞賬。

LayerZero 的治理代幣 ZRO 在黑客事件後因市場不確定性增加而出現劇烈波動。2026 年 4 月 18 日事件發生後，ZRO 價格暴跌約 20%，目前正在測試 1.35 美元附近的關鍵支撐位。投資者正關注此次道歉是否能成為價格回升的動力。

此事件提醒人們，跨鏈橋協議不僅技術完善度重要，運營透明度和負責任的應對也同樣關鍵。雖然 LayerZero 遲來的承認過失並道歉是恢復信任的第一步，但重建一度崩潰的生態系統信任仍需要相當長的時間和努力。

DeFi 行業普遍呼籲以此次案例為契機，加強跨鏈消息傳遞的安全標準。特別是為了防止單點故障（Single Point of Failure）而強制執行多重驗證結構，以及對基礎設施提供商的運營安全進行嚴格審計，預計將成為未來選擇項目的核心標準。