LayerZer首认设计失误：解析KelpDAO遭骇2.9亿美元背后的安全盲点

LayerZero 承认在 KelpDAO 遭駭事件中存在架構设计失誤，主要原因是單一验证者模式产生漏洞，導致 2.92 亿美元资产損失。

KelpDAO 駭客事件，LayerZero 首次公开认错

跨链通訊協议 LayerZero 近日首次公开承认，在 KelpDAO 遭駭事件中存在架構设计失誤。該事件造成约 2.92 亿美元资产損失，也成为 2026 年目前規模最大的 DeFi 攻擊事件之一。

根據官方说明，问題核心来自 KelpDAO 部分跨链设定採用了「單一验证者（Single Verifier）」模式，導致攻擊者成功利用 RPC poisoning 与验证流程缺陷，偽造跨链资訊並繞过安全檢查。

LayerZero 聯合創辦人公开表示：「我們犯了错，我們会承擔责任（We own that）。」这也是 LayerZero 首次在重大安全事故中，直接承认協议设计層面存在问題。

事件发生后，市场对 LayerZero 安全模型的质疑迅速升溫。由於 LayerZero 长期主打「可自訂安全架構」，允許应用方自行选擇验证者与安全配置，因此部分开发者为了降低成本与提升效率，会採用较低安全性的验证模式。这次事件則被认为是相关架構风险首次大規模爆发。

• 相关新聞：Kelp DAO再质押協议遭駭！一小时內噴掉2.9亿鎂，帶你看懂事件始末

單一验证者设计成最大破口

根據 LayerZero 公开的事故报告，KelpDAO 部署时选擇了單一 DVN（Decentralized Verifier Network）验证模式，而非多重验证架構。这代表只要單一验证節点遭到污染或誤導，攻擊者就有机会偽造跨链资訊。

此次攻擊中，**駭客透过 RPC poisoning 技術，污染部分節点的链上狀態资訊，使验证者誤判资訊真实性，最終让偽造资产跨链成功執行。**由於跨链橋本质上涉及多链同步验证，一旦验证来源出现问題，便可能直接造成资产被无中生有地鑄造或转移。

LayerZero 強调，協议本身原本支援更高安全性的多重验证配置，但 KelpDAO 当时並未啟用完整架構。儘管如此，市场仍批評 LayerZero 在产品设计与文件引導上存在问題，因为开发者可能低估不同安全设定之间的风险差異。

部分安全研究員指出，这起事件其实暴露了跨链協议长年存在的根本问題。許多跨链系统雖然標榜去中心化，但实际运作仍高度依賴少數验证節点、RPC 提供商或中继基礎设施，一旦其中任一層遭到攻擊，就可能影響整个资产验证流程。

跨链協议安全模型再度引发爭议

KelpDAO 事件发生后，DeFi 社群再次开始討論跨链協议的安全逻辑。近年包括 Wormhole、Ronin Network、Harmony 等跨链系统，都曾因验证机制漏洞遭到大規模攻擊。市场对跨链橋的信任，也长期處於脆弱狀態。

**LayerZero 过去主打「Ultra Light Node」架構，希望降低跨链成本与部署门檻，同时透过模組化设计让开发者自行选擇安全配置。**不过，此次事件也顯示，「可自訂安全」本身可能成为雙面刃。当協议把安全责任大量交給应用方时，若开发團队缺乏足夠资安能力，反而可能埋下更大风险。

市场人士认为，未来跨链協议可能逐漸朝向「预设高安全」方向发展，而非让开发者自行调整最低成本方案。尤其随著机構资金开始进入链上金融市场，对安全性与责任歸屬的要求也將變得更加嚴格。

DeFi 生態进入基礎设施重新檢討階段

这起事件对 DeFi 生態的影響，已不只是單一駭客攻擊。許多开发團队开始重新檢查自身跨链设定、RPC 来源与验证者架構，部分協议甚至緊急提高验证门檻或暫停部分跨链功能。

另一方面，链上安全公司与研究机構也指出，未来攻擊者可能越来越少直接破解智能合约，而是转向基礎设施層攻擊，包括 RPC、验证網路、预言机与跨链资訊系统。这類攻擊往往更难察覺，也更容易影響大規模资金。

LayerZero 此次公开承认错誤，某種程度上也代表 DeFi 基礎设施开始面对更成熟的问责文化。过去許多協议在遭駭后，多半將责任完全歸咎於第三方或使用者配置，如今則开始有大型協议願意承认架構设计本身存在缺陷。对整个 Web3 产业而言，这或許才是真正值得关注的變化。