Các vấn đề chất chồng đối với LayerZero giữa cáo buộc giao dịch memecoin mới

LayerZero, một nền tảng nhắn tin chuỗi chéo, đang đối mặt với những cáo buộc mới về thất bại trong an ninh hoạt động (OPSEC). Theo các báo cáo, các khóa ký đa chữ ký trong sản xuất của nó đã giao dịch meme coin McPepes trên Uniswap

Theo cáo buộc, được công khai vào ngày 8 tháng 5 năm 2026, các lỗi được quy trách nhiệm cho các kỹ thuật quản lý khóa do các công ty hạ tầng blockchain sử dụng.

Chuyện gì đã xảy ra với multisig Gnosis Safe 2-of-5 của LayerZero?

Các cáo buộc tập trung vào việc sử dụng liều lĩnh multisig Gnosis Safe 2-of-5 của LayerZero, một phương pháp họ bảo vệ token của người dùng và kiểm soát các phần quan trọng của hạ tầng OFT của họ

Từ các ảnh chụp màn hình của một cuộc thảo luận nội bộ lan truyền trên X, ba trong số năm người ký của multisig Gnosis Safe đã tham gia vào các hoạt động không liên quan đến quá trình multisig.

🚨VỪA MỚI: @LayerZero_Core đang đối mặt với cáo buộc về an ninh hoạt động sau khi các khóa multisig trong sản xuất dùng để bảo vệ quỹ người dùng được cho là cũng đã được dùng để giao dịch meme coin McPepes.

Bryan của LayerZero cho biết các giao dịch này do những người thuộc multisig LZ thực hiện nhưng đã từ đó… pic.twitter.com/k5YR7jyCg6

— SolanaFloor (@SolanaFloor) 8 tháng 5, 2026

Các địa chỉ người ký bao gồm:

0x1f5E377a3ADBe6f3289ADb6b21eae6427dfbb553, liên quan đến việc giao dịch meme coin gọi là PEPES (McPepes) và nền tảng Hop.

0xBb6633c267951E938F9B6421E4F54aa5b2c19326, giữ khoảng 12 triệu đô la và tham gia staking Stargate.

0x6fC8342C448F9a8d541C17579EF7A14237b8d5aD, liên quan đến cung cấp thanh khoản trên Curve, PancakeSwap và SpookySwap.

Một giao dịch đáng chú ý vào ngày 1 tháng 3 năm 2023, liên quan đến việc đổi 0.198548073 ETH lấy khoảng 1,73 triệu token của token ERC-20 McPepes/PEPES qua Uniswap V3.

Điều này đã được trích dẫn như bằng chứng cho thấy các khóa trong sản xuất, nhằm mục đích bảo vệ hàng tỷ đô la, đã liên kết với các trang web ngoài mạng lưới, từ đó để lộ khả năng bị tấn công lừa đảo.

Multisig thiếu một khóa thời gian (timelock), và các khóa này đã bị giữ nguyên trong nhiều năm. Các bên cùng chịu trách nhiệm cho các cài đặt và thư viện DVN do multisig kiểm soát cho các giao thức tương thích LayerZero.

Các giao dịch trên chuỗi hỗ trợ khẳng định rằng các người ký trong sản xuất đã thực hiện các giao dịch hoán đổi trên Uniswap cho McPepes trước lịch trình ra mắt token PEPE.

Các lỗ hổng được báo cáo liên quan đến cấu hình multisig

Multisig LayerZero được tạo ra để làm lớp bảo vệ cuối cùng cho các token được cầu nối. Tuy nhiên, các hành động mô tả đã phá vỡ quy tắc OPSEC cơ bản về cách ly khóa. Bằng cách sử dụng cùng một khóa để giao dịch trên các sàn phi tập trung, các người ký đã đối mặt với nguy cơ bị tấn công từ các hợp đồng độc hại và các kế hoạch lừa đảo

Đáng chú ý là chỉ cần hai khóa bị đánh cắp cũng đủ để làm rỗng toàn bộ multisig.

Thời điểm tiết lộ liên quan đến việc tăng cường kiểm tra về cách tiếp cận bảo mật của LayerZero. Theo Cryptopolitan, chỉ vài giờ trước đó, Solv Protocol đã tiết lộ ý định di chuyển hơn 700 triệu đô la BTC token hóa (SolvBTC và xSolvBTC) sang CCIP của Chainlink từ LayerZero

Công ty trích dẫn các cập nhật về đánh giá bảo mật và các vấn đề cầu nối, như vụ hack Kelp DAO gần đây sử dụng cầu nối LayerZero. Mặc dù Solv không đề cập đến vụ việc này trong thông báo của mình, nhưng nó vẫn thể hiện một mức độ hoài nghi nhất định đối với LayerZero.

CEO của LayerZero, Bryan Pellegrino, lên tiếng về vấn đề này

Phản hồi các cáo buộc, CEO LayerZero, Bryan Pellegrino, cho biết các giao dịch bắt nguồn từ các thành viên cũ của ví multisig đã bị đuổi khỏi hệ thống. Ông phủ nhận có chuyện “giao dịch meme coin,” nói rằng đó chỉ là thử nghiệm OFT, không phải đầu cơ

Hơn nữa, ông nhấn mạnh rằng các ví này không còn tham gia vào các chức năng ký nữa.

CEO LayerZero Bryan Pellegrino phủ nhận cáo buộc. Nguồn: X

Như trong các ảnh chụp màn hình, những người hoài nghi đã nêu vấn đề về mô tả vụ việc, cho rằng giao dịch là giữa McPepes (không phải PEPE) và đặt ra nghi vấn về cách mà việc giao dịch ETH sang meme coin qua Uniswap có thể được phân loại là thử nghiệm OFT.

Các người ký liên quan được cho là đã bị loại khỏi multi-signature. Không có phản bác hoặc kiểm toán toàn diện về tất cả các hành động trước đó của các người ký nào được LayerZero công khai.

Crypto Twitter phản ứng dữ dội với LayerZero

Zach Rynes đã phản đối LayerZero, gọi các biện pháp an ninh là “horrific opsec.” Rynes chỉ ra những nguy hiểm do hành vi như vậy gây ra cho người dùng chạy LayerZero theo cài đặt mặc định. Ông đã đề cập đến các lỗ hổng tiềm năng trong chuỗi cung ứng.

Ngoài ra, ông khẳng định rằng các khóa trong sản xuất không bao giờ được sử dụng cho bất kỳ nhiệm vụ quan trọng nào.

Tôi thực sự mong là tôi đang đùa, thật kinh khủng những gì được xem là “opsec” trong ngành này

— Zach Rynes | CLG (@ChainLinkGod) 8 tháng 5, 2026

Phản ứng của cộng đồng X dao động từ sốc trước những gì họ coi là “hề và tội phạm” trong lĩnh vực hạ tầng đến kêu gọi minh bạch và cởi mở hơn.

Bất kỳ lỗ hổng nào trong multisig của LayerZero, vốn đóng vai trò trung gian cho giao tiếp chuỗi chéo, đều có thể rất đáng lo ngại.

Những bộ óc crypto thông minh đã đọc bản tin của chúng tôi. Muốn tham gia? Tham gia cùng họ.