誰該為默認配置買單 rsETH 劫案後半個月 LayerZero CEO主動攬責

撰文：Yangz，Techub News

在永不休眠的 Web3 世界裡，4 月 18 日原本只是平凡的一天。然而，對於流動性再質押賽道乃至整個 DeFi 生態而言，一場足以被載入史冊的「地震」卻在鏈上悄然上演。在不到一小時內，駭客（據稱是 Lazarus Group）利用 Kelp DAO 的跨鏈橋憑空鑄造了 11.65 萬枚 rsETH，價值約 2.92 億美元。考慮到 rsETH 被廣泛用作抵押品，駭客並未急於砸盤，而是將這些毫無價值支撐的「空氣憑證」轉手存入 Aave 等主流借貸協議，套取了約 2.36 億美元的 ETH，將 Aave 等頭部協議直接推入了壞帳的深淵。

這並非跨鏈橋第一次遭遇攻擊，但這一次卻撕開了一個橫亘在 Web3 行業已久的傷口：當底層基礎設施（協議層）與上層建築（應用層）交接出現真空時，誰該為消失的億萬資產買單？

在隨後的半個多月時間裡，這場危機演已然變成了一場關於技術、責任與權力的公開博弈。從一開始的「互相推諉」，到今日 LayerZero CEO 的「主動攬責」，這才算為這場責任邊界之辯劃下階段性句點。

致命的「1/1 DVN」

要理解這場爭辯，必須先拆解駭客的攻擊手法。有趣的是，此次攻擊並非源於複雜的智能合約漏洞，問題的根源在於一個配置參數：1-of-1 DVN。

這個所謂的 DVN，也就是去中心化驗證者網路，是 LayerZero V2 架構中負責驗證跨鏈消息的組件。1-of-1 的配置意味著：只要一個驗證者簽名，跨鏈消息就被視為合法並執行。更糟糕的是，這把「鑰匙」的操作權並非完全掌握在 Kelp 手中，而是依賴於底層的 RPC 節點。駭客通過 RPC 節點投毒配合 DDoS 攻擊，劫持了那唯一的驗證者節點，向其餵送虛假的「源鏈銷毀記錄」。驗證者信了，簽了名，這一大筆資產便憑空產生了。

那麼，問題的關鍵，也就是這個「1/1 DVN」的鍋到底該誰來背？

互相推諉背後：兩種邏輯的碰撞

在攻擊發生後的最初一段時間裡，輿論的風向標原本是倒向 LayerZero 的。社媒上充斥著對 Kelp DAO 的冷嘲熱諷：作為管理數億美金的頭部協議，竟然使用 1/1 單驗證人這種「紙糊的門鎖」，幾乎不可原諒。

然而，當 4 月 21 日 Kelp 拿出「官方說明書」時，一場戲劇性的輿論反轉發生了。Kelp 的核心論點只有一句話：如果官方文檔和默認配置本身就是危險的，那麼責任在編寫文檔和設定默認值的一方。這不是用戶配置錯誤，而是產品本身的「引導性缺陷」。儘管 LayerZero CEO Bryan Pellegrino 在回應質疑時多次強調，這是應用層的選擇，而非協議層的漏洞，但指責的重心開始從 Kelp 的「執行無能」轉向了 LayerZero 的「系統性傲慢」——明知默認配置存在風險，卻仍將其作為快速入門的標準示例。

此外，第三方開發者的聲音也進一步放大了爭議。Yearn 核心開發者 banteg 通過技術審查發現，LayerZero V2 的快速入門指南在以太坊、BNB Chain、Polygon、Arbitrum 和 Optimism 上均使用了這種危險的單源驗證作為默認設置。Chainlink 社區負責人 Zach Rynes 的批評則更為辛辣：指責 LayerZero 正在將遵循其官方指引的用戶當作「替罪羊」，以此掩蓋其自身基礎設施在面對頂級駭客攻擊時的脆弱。

那麼，究竟誰對誰錯？其實都沒全錯，也都沒全對。這場爭論的本質其實是兩種邏輯的碰撞。一種是「極客倫理」：工具是中立的，使用者應當為自己的選擇負責。另一種則是「安全默認原則」：產品的出廠狀態應處於安全性最高的狀態。用戶可以為了便捷主動降低門檻，但產品不該引導用戶走向危險。

在傳統軟體工程中，「安全默認」已經成為共識。操作系統默認開啟防火牆，瀏覽器默認阻止彈窗。這些設計選擇不是因為用戶蠢，而是因為系統設計者有責任預見到「最壞情況下的使用方式」。然而，在 Web3 的世界裡，大家信奉的是另一套邏輯：「你自己負責」——你的私鑰你自己保管，你的配置你自己檢查，你的損失你自己承擔。

Bryan 的「攬責」：精心設計的後撤

在輿論圍攻與資本市場的雙重絞殺下，ZRO 的幣價成了最誠實的體溫計，從 1.98 美元的高位一路陰跌至 1.32 美元。5 月 5 日，此前態度強硬的 Bryan Pellegrino 終於選擇了低頭，直言「I was wrong」。

這一次，他沒有繼續在「技術中立」的牛角尖里打轉，而是稱自己陷入了某種「認知失調」，錯誤地假設用戶具備識別並避開 1/1 弱配置的專業自覺。隨後，他又開出了一劑旨在挽回市場的藥方：重心全面轉向服務資產發行方、強制加固安全設置，並聯合 DeFi United 深度參與 rsETH 的災後重建。

當然，這份聲明的精妙之處，還在那些「未盡之言」里。

Bryan 既沒有吐露「賠償」二字，也沒有承認 Kelp DAO 毫無過錯。他用一句極具公關智慧的「我們有機會做得更好」，輕巧地將一場涉及 2.92 億美元的事故，轉化為了一次「追求卓越過程中的遺憾」。

很明顯，這是一個經過精密計算的姿態。LayerZero 並不打算——大機率也不會——自掏腰包為這近 3 億美元的黑洞買單，但它必須通過承擔這種「間接責任」來止損。它意識到，作為跨鏈賽道的霸主，如果只提供工具而不承擔一定責任，那麼它的護城河將形同虛設。通過主動攬責，LayerZero 實際上是在為自己、也為搖搖欲墜的 ZRO 幣價尋找一個體面的台階。

結語

2.92 億美元的損失，不僅是賬面上的赤字，更是對 DeFi 信任基石的一次全方位壓力測試。值得慶幸的是，即使協議間互相推諉，但行業仍舊展現出了某種令人敬畏的「自愈」韌性。

作為受災最嚴重的借貸協議，Aave 並沒有坐以待斃。在美國律所 Gerstein Harrow 試圖凍結 Arbitrum DAO 已追回的約 7100 萬美元的 ETH 時，為緩解流動性僵局，Aave 治理團隊已提交緊急動議，要求法院撤銷限制通知。與此同時，由 Aave 帶領，多個協議自發形成的 DeFi United 計劃正取得突破性進展。通過多方注資與收益共享機制，目前已籌集超 3 億美元資金，正有節奏地吞噬掉 Aave 平台上的壞帳。

此次事件的損失確實慘重，但如果能換來基礎設施方對「安全邊界」的敬畏，換來開發者對「默認配置」的警惕，換來行業在危機面前的協同自救能力，那麼這筆學費或許不算白交。當 Bryan Pellegrino 站出來說出「我們有機會做得更好」的那一刻，當 DeFi United 聯手填補生態窟窿時，他們想守護的不僅僅是 rsETH 產生的壞帳，更是用戶對這個充滿變數的去中心化世界的最後一絲信心。

來源：金色財經

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前，請務必深入研究，理解相關風險，並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。