#LayerZeroCEOAdmitsProtocolFlaws

Giám đốc điều hành LayerZero tiết lộ: Lỗ hổng giao thức và sau vụ $290M Hack

Thế giới chuỗi chéo đã rung chuyển vào tháng 4-5 năm 2026. Giám đốc điều hành LayerZero Bryan Pellegrino tiết lộ lỗ hổng nghiêm trọng trong hợp đồng token của Across Protocol. Cùng tuần đó, vụ hack KelpDAO trị giá 292 triệu đô la đã xảy ra. Cộng đồng đã phản ứng: “Chỉ tăng số lượng nhà cung cấp dữ liệu là không đủ” và phản đối dữ dội.
1. Tiết lộ của CEO: “Báo động đỏ” trong hợp đồng token
Pellegrino đã lên tiếng với đội ngũ Across: “Trong ứng dụng ERC20 của các bạn, một chức năng cần riêng tư lại bị để công khai nhầm. Hợp đồng chủ sở hữu có thể rút token từ bất kỳ ví nào và đặt số dư về 0. Ngoài ra, hợp đồng của Across và UMA có quyền mint không giới hạn”.

Giải pháp đề xuất: Chuyển quyền sở hữu hợp đồng sang hợp đồng thông minh không thể thay đổi. Tắt quyền mint/burn. Bởi đây là lỗ hổng cố định. Pellegrino nói: “Nếu có chương trình thưởng lỗi, hãy gửi cho đội ngũ LayerZero”.
2. Thảm họa $292M KelpDAO: Tranh cãi về trách nhiệm
Khoảng ngày 20 tháng 4, KelpDAO đã rút khỏi cầu nối LayerZero: 116.500 rsETH, $292M gone. Có nghi ngờ nhóm Lazarus đứng sau.

LayerZero: “Tấn công không phải do giao thức của chúng tôi, mà là tấn công hạ tầng. Vì KelpDAO sử dụng DVN 1-đến-1, nên đây là sự kiện cô lập”. Nghĩa là họ chỉ tin tưởng vào một mạng nhà cung cấp dữ liệu, trong khi đề xuất của chúng tôi là nhiều DVN hơn.

Cộng đồng tức giận: “Hạ tầng RPC của bạn đã bị hack, không thể đổ lỗi cho KelpDAO”. 47% OApp vẫn sử dụng DVN 1-đến-1. Rủi ro là hơn 4,5 tỷ đô la.
3. Vấn đề cấu trúc: Kiến trúc DVN
LayerZero gọi là “bảo mật mô-đun”: Các ứng dụng chọn DVN riêng của mình. Nhưng nếu cài đặt mặc định yếu, các dự án vô tình giao phó cho một nhà cung cấp dữ liệu. Điều này cũng xảy ra với KelpDAO. Kẻ tấn công đã làm nhiễu RPC và xác nhận các tin nhắn giả.

Stani Kulechov cảnh báo: “Các khai thác cầu nối là mối đe dọa tồn tại của DeFi. Từ Ronin, Poly Network, Nomad, giờ đây các cầu nối dựa trên LayerZero đang được chú ý.”
Ảnh hưởng thị trường • Token ZRO: Sau hack giảm 20%, dao động trong khoảng $1.47-$2.28. Dù tăng 5.18% trong 3 ngày qua, xu hướng vẫn giảm. • Rủi ro TVL: Hơn 4,5 tỷ đô la OApp hoạt động với DVN 1-đến-1. Nếu xảy ra tấn công tương tự, nguy cơ lây lan cao. • Khủng hoảng niềm tin: “Không lây nhiễm” đã được nói, nhưng cộng đồng không tin. An ninh cầu nối hiện là ưu tiên hàng đầu trong DeFi.
Tóm tắt: LayerZero nói “ứng dụng tự chọn bảo mật”, nhưng cài đặt mặc định lại đặt hàng tỷ đô la vào rủi ro. Tiết lộ của CEO về Across là thiện chí, nhưng sau vụ KelpDAO, thái độ “trách nhiệm không thuộc về chúng tôi” đã gây phản ứng. An ninh giao thức chỉ giải quyết được phần nào bằng việc thêm nhiều nhà cung cấp dữ liệu hơn. Cần kiểm toán toàn ngành, tiêu chuẩn và minh bạch.