LayerZero 說它犯了錯——但沒說的是，它的「去中心化驗證節點」根本就是自己的伺服器

LayerZero Labs 在 2026 年 5 月 9 日發出聲明，承認在 Kelp 橋接遭駭一事上「犯了一個錯誤」。這個錯誤的代價是 116,500 枚 rsETH，按攻擊當時市值折算約 2.92 億美元（來源：CoinDesk Tech, 2026.05.09）。主流媒體把這個承認報導為「科技公司的責任擔當」。這個解讀完全倒置了問題的性質——LayerZero 的認錯不是誠實，是被逼出來的事後澄清，而它真正應該解釋的，是整個 DeFi 橋接產業共享的一個謊言。

LayerZero 的 DVN（Decentralized Verifier Network，去中心化驗證節點網絡）在名字上是「去中心化」，在現實中，Kelp 橋接配置的主要驗證者是 LayerZero Labs 自己運行的節點。攻擊者（據 CoinDesk 報導被指為北韓 Lazarus 集團）做的事情並不複雜：他們入侵了 LayerZero Labs DVN 所使用的 RPC 節點列表，替換掉兩個節點的執行程序，讓橋接驗證通過了偽造的訊息。這不是零日漏洞攻擊，這是伺服器運維失敗。「去中心化」四個字，在這次攻擊中起到的唯一作用，是讓用戶以為有多個獨立方在做驗證，從而降低了對單點失敗的警惕。

事發初期，LayerZero Labs 的公開立場是指責 Kelp DAO 選擇了高風險配置。這個指責在技術上不是完全錯的——Kelp 確實選擇了讓 LayerZero 自家 DVN 作為主要驗證者的配置方式。但 KelpDAO 的回應揭示了更深的問題：這個配置，LayerZero Labs 是審查並批准過的（來源：CoinDesk, 2026.05.05）。一個批准了高風險配置保護近三億美元資產的基礎設施提供商，在事後把責任推給選擇信任它的協議，這不叫「技術分歧」，這叫責任轉移。

$25 億 TVL 從 LayerZero 遷移到 Chainlink CCIP（來源：The Block, 2026.05.14），Solv Protocol 單獨遷出超過 $7 億的代幣化比特幣資產（來源：CoinDesk Business, 2026.05.07）。市場的結論是：Chainlink 更安全。

但 Chainlink CCIP 的去中心化程度，比 LayerZero DVN 在理論上好多少？Chainlink 的預言機網絡節點數量更多，這一點是事實。但 CCIP 的核心合約升級和節點名單的異動權限，依然集中在 Chainlink Labs 控制的多簽錢包（multi-sig）。從一個單點信任（LayerZero Labs 的 DVN 伺服器）遷移到另一個集中化程度稍微分散但本質相似的基礎設施——這不是去中心化進展，這是換了個房東，而且是一個規模更大、資產更集中的房東。

從系統風險的角度計算：$25 億 TVL 從 LayerZero 集中到 Chainlink，意味著 Chainlink CCIP 成為整個跨鏈橋接市場的更大單點風險。如果未來 Chainlink CCIP 出現類似配置問題，遷移成本會比今天更高，因為依賴它的 TVL 集中度已大幅提升。這不是在說 Chainlink 有問題，而是在說：用「換一個更大的中心化服務商」來回應中心化風險，這個邏輯根本上是在累積而非化解系統性脆弱性。

去中心化橋接協議的問題從來不是技術問題，而是政治經濟問題：誰控制驗證節點，誰就控制橋接的信任假設。LayerZero 這次付出了 2.92 億美元的信任稅。下一次輪到誰，取決於我們有沒有認真去讀合約的節點配置，而不是讀白皮書的行銷文字。

真正的去中心化橋接，需要沒有任何單一實體控制超過閾值比例驗證節點的架構，以及足夠透明的鏈上審計紀錄讓任何人都能驗證。這種設計現在還不存在於任何大規模橋接協議。在它存在之前，「去中心化跨鏈」不過是行銷語言，而 $25 億美元的遷移不過是讓另一家公司把這個行銷語言說得更大聲。


如果這篇文章對你有幫助，歡迎用 LikeCoin 支持獨立分析。每一個拍手都是讓這類內容繼續存在的動力。