LayerZero默认库合约安全风险引发争论，研究人员指出存在跨链消息伪造缺陷

BlockBeats 消息，5 月 8 日，今日早些时候，在 ETHSecurity Community Telegram 群组中，LayerZero 联合创始人 Bryan Pellegrino 与安全研究人员之间爆发了激烈争论。研究人员指出，LayerZero 的默认库合约存在致命缺陷，LayerZero Labs 可无时间锁、即时升级该合约，从而伪造跨链消息，这正是此前 rsETH 攻击事件的根本原因。据称，超过 30 亿美元的 LayerZero OFT（全链同质化代币）曾因此面临风险。

据 Banteg 披露，截至几周前，Ethena、EtherFi 等主流项目仍在使用这个有风险的默认库合约。目前仍有约 1.78 亿美元的价值暴露在潜在攻击风险下。其披露的链上数据显示，LayerZero Labs 的多签签名者存在非多签签名活动，包括交易 Meme 币、在 DEX 上进行兑换及跨链桥操作。这意味着生产环境的多签密钥连接到了普通网站，大大增加了网络钓鱼攻击的风险面。批评者直言 LayerZero 私钥管理水平「如同高中生」。

对此，LayerZero 联合创始人 Bryan 回应，相关 signer 已移除，交易是「测试」，且默认配置适合「不优先考虑安全的团队」，且强调多数 major app 已切换，LayerZero 正在推动用户安全，但未逐一追责所有应用。