#DailyPolymarketHotspot #LayerZeroCEOAdmitsProtocolFlaws #LayerZeroCEOAdmitsProtocolFlaws

Генеральний директор LayerZero визнає провали протоколу після $292M зламу — але Kelp DAO каже: "Ви схвалили налаштування, на яке тепер звинувачуєте"
Тижнями LayerZero звинувачував Kelp DAO у експлоїті на 292 мільйони доларів, що потряс DeFi. "Вони використовували конфігурацію верифікатора 1-із-1 — ми попереджали про це." Це була основна ідея. Але тепер генеральний директор LayerZero Браян Пеллегріно публічно визнав недоліки протоколу, обіцяючи повну реформу безпеки. А Kelp DAO опублікував докази, які можуть кардинально змінити всю гру у звинуваченнях.
Дозвольте мені пояснити, чому це важливо для кожного міжланцюгового мосту, якого ви коли-небудь довіряли.
🔥 Визнання, яке все змінило
4 травня Пеллегріно опублікував публічну заяву, в якій визнав провали протоколу LayerZero після експлоїту Kelp DAO, пообіцявши всебічну реформу безпеки. Це суттєвий зсув від початкового звіту LayerZero від 20 квітня, який трактував атаку виключно як збій на рівні "застосунку" через конфігурацію Kelp DAO — а не проблему протоколу.
Чому цей зсув? Тому що докази ставали все важче ігнорувати.
🔍 Вражаючий заперечення Kelp DAO
5 травня Kelp DAO опублікував детальну відповідь, яка прямо суперечить основній заяві LayerZero. Ось що вони розкрили:
1. LayerZero схвалив конфігурацію верифікатора 1-із-1, яку тепер звинувачують Kelp DAO, — вони поділилися скріншотами приватних переписок з членами команди LayerZero, де співробітник LayerZero явно сказав: "Немає проблем із використанням стандартних налаштувань — я тут тегую [redacted], оскільки він згадував, що можливо, ви хотіли б використати власний DVN для перевірки повідомлень, але залишу це вашій команді!" Посилання на "стандартні" налаштування — це конфігурація DVN від LayerZero Labs 1-із-1, саме її LayerZero пізніше назвав критичною вразливістю, що дозволила експлойт.
2. "Небезпечна" конфігурація — це стандартна за замовчуванням у LayerZero, яку назвали крайнім, безвідповідальним вибором. Аргумент Kelp: це стандартна конфігурація платформи, яку використовують сотні інших застосунків у всій екосистемі. Якщо більшість інтеграцій LayerZero використовує 1-із-1, називати її "помилкою користувача" при збоях — все одно що продавати автомобіль без подушок безпеки і звинувачувати водія за їх відсутність після покупки.
3. Інфраструктура LayerZero була зламаною. Атака спрацювала, бо зловмисники зламали два RPC-нодів, на яких базувався верифікатор LayerZero, і DDoS-нули решту. Інфраструктура DVN LayerZero — саме система, яка мала підтверджувати міжланцюгові повідомлення — була зламаною. Представник спільноти Chainlink Зак Райнс прямо це підтвердив: "LayerZero перекладає відповідальність, стверджуючи, що їхня власна інфраструктура DVN була зламаною і спричинила експлойт $290M міжланцюгового мосту."
4. Чотири незадоволені питання від Kelp DAO. Kelp поставив конкретні питання, на які LayerZero досі не відповів публічно: Як отримувалися списки RPC-ендпоінтів? Як узгоджуються задокументовані налаштування LayerZero із величезною кількістю конфігурацій 1-із-1 у всій екосистемі? Чому моніторинг не виявив злом інфраструктури? Яка була тривалість перебування зламаних нодів перед підписанням підробленого повідомлення?
Ці питання не риторичні — це вимоги до відповідальності, і тепер визнання LayerZero про недоліки протоколу робить їх ще важчими ігнорувати.
🧠 Справжній урок: ризик коду проти операційного ризику
Аналіз безпеки від OpenZeppelin зробив важливий висновок, який багато хто пропустив: у смарт-контрактах Kelp DAO НЕ було багів. Код був перевірений і надійний. Що зламалося — це операційна та інтеграційна налаштування навколо інфраструктури мосту — щось, що виходить за межі традиційних оглядів і аудитів коду.
Це різниця, про яку рідко говорять у галузі. Можна мати ідеально перевірені контракти і все одно втратити 292 мільйони доларів, якщо інфраструктурний шар під ними має один єдиний пункт відмови. Модель LayerZero базується на децентралізованих мережах верифікаторів (DVN), але коли конфігурація за замовчуванням — 1-із-1 (один верифікатор — сама LayerZero Labs), "децентралізованість" стає маркетинговим словом, а не реальною безпекою. Один зламаний вузол. Одне підроблене повідомлення. 292 мільйони доларів зникли.
📊 Вплив ціни ZRO — ринок голосує
ZRO торгується за 1.395 долара, зниження на -5.1% за 24 години і -29.6% за 30 днів. Технічна картина чітко показує:
Щоденні MA у сильному медвежому тренді (MA7 < MA30 < MA120) — тривала тенденція до падіння
PDI < MDI з ADX на рівні 34.4 — сильний спадний імпульс
Зниження на -4.4% відносно BTC сьогодні — значна недооцінка
Ф’ючерсний відкритий інтерес знизився на -11.6% за 24 години — позиції ліквідуються, а не відкриваються
Але: щоденний MACD щойно сформував золотий хрест (DIF перетнув DEA вгору), а 15-хвилинний CCI/WR у зоні перепроданості — є потенціал короткострокового відскоку
Ринок враховує репутаційний збиток і невизначеність. Визнання керівником LayerZero недоліків протоколу — крок до відповідальності, але докази Kelp DAO піднімають складніше питання: чи це колись був просто "помилка користувача у конфігурації", чи з самого початку дефолтний дизайн протоколу був фундаментально небезпечним?
⚡ Що це означає для міжланцюгової інфраструктури
1. Стандартні налаштування важливіші за документацію. Якщо протокол поставляє в конфігурації 1-із-1 — це не рекомендація, а рівень безпеки, який він фактично пропонує. Документація з рекомендацією "налаштуйте мульти-верифікатор" не захищає користувачів, які слідують стандартним налаштуванням. Реальна безпека системи визначається тим, що більшість користувачів фактично використовують, а не тим, що написано в документації.
2. Інфраструктурний ризик невидимий, доки не вибухне. Аудити смарт-контрактів виявляють баги у коді. Вони не виявляють зламані RPC-ноді, DDoS-валідатори або єдині довірчі точки у каналах повідомлень. Наступний великий експлойт DeFi навряд чи виникне через вразливість у коді — він буде через операційну інфраструктуру, від якої залежать контракти, але яку вони не можуть контролювати.
3. Відповідальність не може бути ретроспективною. Визнання керівника LayerZero — це добре, але воно прийшло після тижнів перекладання провини на Kelp DAO. Якби це визнання з’явилося 20 квітня разом із звітом — а не з історією "Kelp налаштував неправильно" — реакція спільноти була б зовсім іншою. Довіра формується у перші 48 годин після кризи, а не через третій тиждень.
4. Міграція Kelp DAO на Chainlink CCIP — вердикт ринку. Kelp оголосив про міграцію rsETH з LayerZero OFT на Chainlink Cross-Chain Interoperability Protocol. Коли вашого найбільшого партнера з інтеграції залишає ваш протокол після експлоїту, це не просто бізнес-рішення — це безпековий вердикт від того, хто тестував вашу систему у реальних умовах і виявив її недостатньою.
💡 Висновок
Визнання керівником LayerZero недоліків протоколу — це необхідний крок, але лише перший. Наступний важливий тест — чи зможе LayerZero відповісти публічно на чотири питання Kelp DAO, реформувати свої стандартні налаштування безпеки і відновити довіру до інтеграторів, які тепер сумніваються, чи означає "децентралізований верифікатор" щось, коли за замовчуванням його перевіряє одна компанія.
292 мільйони доларів втрат. В коді — жодних багів. Вразливість була не у коді — у моделі довіри. І кожен міжланцюговий міст із подібною архітектурою має зараз ставити собі питання: чи слід створювачам протоколів нести відповідальність за небезпечні налаштування за замовчуванням, чи це завжди відповідальність користувача налаштовувати систему понад стандарт? Цю дискусію варто вести — залиште свою позицію нижче 👇
‍@Gate_Square
‍$ZRO $ETH