#LayerZeroCEOAdmitsProtocolFlaws
Генеральний директор LayerZero зізнався: вразливості протоколу та наслідки $290M Hack
Світ міжланцюгових рішень потрясла подія у квітні-травні 2026 року. Генеральний директор LayerZero Браян Пеллегріно розкрив критичну вразливість у контракті токену Across Protocol. У той же тиждень стався хак на $292 мільйони в KelpDAO. Спільнота підняла голос: «Досить просто збільшувати кількість виконавців».
1. Зізнання CEO: «Червоний сигнал» у контракті токену
Пеллегріно звернувся до команди Across: «У вашому застосунку ERC20 ви випадково залишили функцію, яка має бути приватною, публічною. Власник контракту може зняти токени з будь-якого гаманця і скинути баланс до 0. Також контракти Across і UMA мають необмежені права на створення токенів».
Пропозиція рішення: передайте право власності на контракт у незмінний смарт-контракт. Вимкніть права на створення/знищення. Це постійна вразливість. Пеллегріно: «Якщо є програма винагороди за вразливості, пишіть команді LayerZero».
2. Катастрофа KelpDAO: суперечки про відповідальність
Близько 20 квітня з LayerZero було виведено міст KelpDAO: 116 500 rsETH $292M зникло. Є підозри на Lazarus Group.
LayerZero: «Атака не стосувалася нашого протоколу, а інфраструктурної системи. KelpDAO використовував 1-оф-1 DVN, тому це ізольована подія». Тобто довіряли лише одній мережі виконавців, нашою рекомендацією було використання багатьох DVN.
Спільнота обурена: «Ваша RPC інфраструктура зламано, ви не можете звинувачувати лише KelpDAO». 47% OApp досі використовує 1-оф-1 DVN. Ризик: понад $4.5 мільярдів.
3. Структурна проблема: архітектура DVN
LayerZero називає себе «модульною безпекою»: застосунки обирають свої DVN. Але якщо налаштування за замовчуванням слабкі, проекти без знань довіряють одній мережі виконавців. Так сталося і з KelpDAO. Зловмисники отруїли RPC і підтвердили фальшиві повідомлення.
Стани Кулєчов попередив: «Зломи мостів — це екзистенційна загроза для DeFi. Після Ronin, Poly Network, Nomad тепер у центрі уваги мости на базі LayerZero».
Вплив на ринок:
• ZRO Token: після хаку впав на 20%, у діапазоні $1.47-$2.28. За останні 3 дні підскочив на 5.18%, але тренд залишається низхідним.
• Ризик TVL: понад $4.5 млрд у OApp, що працює з 1-оф-1 DVN. Якщо подібна атака повториться, ризик поширення високий.
• Криза довіри: «Zero contagion» заявляли, але спільнота не переконана. Безпека мостів у DeFi — тепер головна тема.
Підсумок: LayerZero стверджує, що «застосунок обирає свою безпеку», але налаштування за замовчуванням ставлять мільярди під ризик. Зізнання CEO щодо Across — добросовісне, але реакція на KelpDAO із заявою «ми не несемо відповідальності» викликала негатив. Безпека протоколу не вирішується просто додаванням виконавців. Необхідний галузевий аудит, стандарти та прозорість.
#GateSquareMayTradingShare
#GateТорговийОбмінТравень
$292M
Генеральний директор LayerZero зізнався: вразливості протоколу та наслідки $290M Hack
Світ міжланцюгових рішень потрясла подія у квітні-травні 2026 року. Генеральний директор LayerZero Браян Пеллегріно розкрив критичну вразливість у контракті токену Across Protocol. У той же тиждень стався хак на $292 мільйони в KelpDAO. Спільнота підняла голос: «Досить просто збільшувати кількість виконавців».
1. Зізнання CEO: «Червоний сигнал» у контракті токену
Пеллегріно звернувся до команди Across: «У вашому застосунку ERC20 ви випадково залишили функцію, яка має бути приватною, публічною. Власник контракту може зняти токени з будь-якого гаманця і скинути баланс до 0. Також контракти Across і UMA мають необмежені права на створення токенів».
Пропозиція рішення: передайте право власності на контракт у незмінний смарт-контракт. Вимкніть права на створення/знищення. Це постійна вразливість. Пеллегріно: «Якщо є програма винагороди за вразливості, пишіть команді LayerZero».
2. Катастрофа KelpDAO: суперечки про відповідальність
Близько 20 квітня з LayerZero було виведено міст KelpDAO: 116 500 rsETH $292M зникло. Є підозри на Lazarus Group.
LayerZero: «Атака не стосувалася нашого протоколу, а інфраструктурної системи. KelpDAO використовував 1-оф-1 DVN, тому це ізольована подія». Тобто довіряли лише одній мережі виконавців, нашою рекомендацією було використання багатьох DVN.
Спільнота обурена: «Ваша RPC інфраструктура зламано, ви не можете звинувачувати лише KelpDAO». 47% OApp досі використовує 1-оф-1 DVN. Ризик: понад $4.5 мільярдів.
3. Структурна проблема: архітектура DVN
LayerZero називає себе «модульною безпекою»: застосунки обирають свої DVN. Але якщо налаштування за замовчуванням слабкі, проекти без знань довіряють одній мережі виконавців. Так сталося і з KelpDAO. Зловмисники отруїли RPC і підтвердили фальшиві повідомлення.
Стани Кулєчов попередив: «Зломи мостів — це екзистенційна загроза для DeFi. Після Ronin, Poly Network, Nomad тепер у центрі уваги мости на базі LayerZero».
Вплив на ринок:
• ZRO Token: після хаку впав на 20%, у діапазоні $1.47-$2.28. За останні 3 дні підскочив на 5.18%, але тренд залишається низхідним.
• Ризик TVL: понад $4.5 млрд у OApp, що працює з 1-оф-1 DVN. Якщо подібна атака повториться, ризик поширення високий.
• Криза довіри: «Zero contagion» заявляли, але спільнота не переконана. Безпека мостів у DeFi — тепер головна тема.
Підсумок: LayerZero стверджує, що «застосунок обирає свою безпеку», але налаштування за замовчуванням ставлять мільярди під ризик. Зізнання CEO щодо Across — добросовісне, але реакція на KelpDAO із заявою «ми не несемо відповідальності» викликала негатив. Безпека протоколу не вирішується просто додаванням виконавців. Необхідний галузевий аудит, стандарти та прозорість.
#GateSquareMayTradingShare
#GateТорговийОбмінТравень
$292M
