LayerZero 承認 2.92 億美元跨鏈攻擊源自安全設定失誤　全面棄用 1:1 DVN、提高跨鏈安全門檻

美國區塊鏈基礎設施公司 *「LayerZero」* 近日正式承認，先前發生約「2億9,200萬美元」（約 *4,270 億韓元*）規模的跨鏈攻擊事件，與自家「*安全設定失誤*」直接相關。這項說法與過去一再將責任指向開發團隊 *Kelp DAO* 的立場不同，被視為「*重大態度轉變*」，也再度把「跨鏈安全架構」與「*DVN 安全模型*」推上爭議焦點。

根據官方部落格於 9 日（當地時間）發布的聲明，LayerZero 罕見以「*是我們犯了錯*」作為開場，並補充表示「雖然來得很晚，但仍向所有受影響的用戶與合作夥伴致歉」。這是自 4 月大規模駭侵事件爆發以來，歷經數週責任攻防後，該公司首次明確承認自身在安全設定上的錯誤。

先前，LayerZero 一直強調，Kelp DAO 在部署時選擇「*1-of-1 結構*」的 *DVN（去中心化驗證網路）* 設定，本身就是高風險選項，等同主動將橋接資產暴露在單點失效之下。*DVN* 是用於驗證不同公鏈間資產轉移「正當性」的關鍵基礎設施，被視為跨鏈橋安全性的核心防線之一。

不過在最新聲明中，LayerZero 改口表示，允許高價值資產在「*1:1 DVN 結構*」下運行，是公司在設計與風險控管上的「*重大誤判*」。官方坦言，團隊並未充分掌握「到底在保護什麼資產」，也未對開發者可能採用的最低安全門檻進行有效約束，因此「*最終責任在我們*」，正式承認過往安全策略設計存在結構性問題。

為防止類似攻擊再次發生，LayerZero 宣布將「*全面重構安全架構*」，不再支援任何形式的「*1:1 DVN 設定*」，未來系統預設值將提升至「*5/5 多重驗證*」，並要求所有新部署與現有支援鏈路，至少維持「*3/3 多重驗證*」的安全水位。這代表日後透過 LayerZero 進行跨鏈操作時，將必須通過「*多節點、多路徑*」同時確認，才能完成資產轉移。

在這起事件中，跨鏈橋再度被印證為區塊鏈體系中最薄弱的一環。攻擊者疑似同時鎖定「*內部 RPC 基礎設施*」與外部服務，發動「*分散式阻斷服務攻擊（DDoS）*」，造成整體防禦鏈條壓力驟增，擴大了資金損失規模。LayerZero 強調「*協議本身並未遭到破壞*」，並維持一貫說法，認為最終「*安全結構的責任仍在開發者如何設定*」，但這次已承認平台在「邊界條件」與「限制設計」上存在明顯疏忽。

除了這次的 DVN 風險外，LayerZero 也同步揭露過往內部「*權限管理與金鑰操作*」上的問題。約在三年半前，團隊發現一名多簽錢包簽署者，曾將「*工作用硬體錢包*」挪作個人交易用途，違反了內部操作規範。公司稱此為「明顯錯誤行為」，並已即刻移除該成員、全面汰換相關錢包，同時為所有裝置導入「*異常行為偵測系統*」，並建立自家多簽框架「*OneSig*」，希望從制度面減少「*單點人為風險*」。

「*評論*」：這段過往內控疏失顯示，即使是基礎設施級別專案，若缺乏嚴謹的「*金鑰治理*」與「多簽權限分層」，仍可能因個人行為放大整體風險。對於管理大量跨鏈資產的團隊而言，「*人為操作流程*」與「*技術協議*」的安全等級必須同樣嚴苛。

本次危機也迅速重塑跨鏈基礎設施市場的競爭格局。*「Chainlink(LINK)」* 抓住 LayerZero 信任受損的空窗期，積極推廣其跨鏈解決方案，特別是 *「跨鏈互操作協議（CCIP）」*。Kelp DAO 已將其 *rsETH* 跨鏈橋全面遷移至 Chainlink CCIP，而 *Solv Protocol* 則宣布，將把約「*7 億美元*」規模的「*代幣化比特幣*」基礎設施，自 LayerZero 平台撤出並轉移至其他方案。

「*評論*」：對 *Chainlink(LINK)* 而言，這次事件等同於一次「*安全品牌的放大舞台*」。當高價值 DeFi 協議與機構級資產管理方，尋找更具「*制度化風險控管*」的跨鏈工具時，誰能提供「*可審計、可驗證、預設高安全門檻*」的標準化模型，將直接影響未來數十億美元級別的資產流向。

LayerZero 的遲來認錯，不僅是對單一事故的說明，更可能成為整體「*跨鏈安全模型*」重估的轉折點。究竟應由「*底層協議*」強制定義最低安全規格，還是交由「*應用開發者*」自行權衡效率與風險？這場圍繞「*安全設計主導權*」的爭論，預料將在未來一段時間內持續延燒，也將深刻影響 *DeFi*、跨鏈應用與機構級資產托管對「*橋接基礎設施*」的選擇與信任。