LayerZero 默认库合约的安全缺陷，今天在社区引发激烈争论。

研究人员指出，该合约存在致命漏洞：LayerZero Labs 可无时间锁即时升级，从而伪造跨链消息——这正是此前 rsETH 攻击事件的根源。
超 30 亿美元的 OFT 曾面临风险，目前仍有约 1.78 亿美元价值暴露。
更令人担忧的是，LayerZero Labs 的多签签名者被曝存在非多签活动，如交易 Meme 币、DEX 兑换等，批评者称其私钥管理水平“如同高中生”。
这不仅仅是技术 bug。它暴露了跨链基础设施中一个根本性的信任问题：当用户依赖“不可篡改”的跨链消息时，底层合约却可能被项目方单方面操纵。
信任链从代码转移到了项目方的人为操作上。
作为回应，Kelp DAO 等头部协议已弃用 LayerZero，转向 Chainlink CCIP。
这标志着跨链安全叙事正在分化：从“通用跨链桥”转向“可验证的信任最小化方案”。
对用户而言，需要警惕的是：并非所有跨链方案都同等安全。
依赖单一项目方多签治理的桥，本质上仍是“信任假设”而非“信任最小化”。
在跨链资产交互时，应优先选择经过审计、去中心化程度更高的方案。
$zro #link #dex