LayerZero, una plataforma de missatgeria entre cadenes, s’enfronta a noves acusacions de fallades de seguretat de les operacions (OPSEC). Segons els informes, les seves claus de signatura multisig de producció van comerciar amb McPepes memecoin a Uniswap.
Segons les al·legacions, que es van fer públiques el 8 de maig de 2026, les falles es van dirigir a tècniques de gestió clau utilitzades per les empreses d’infraestructura blockchain.
Què va passar amb el multisig 2-of-5 Gnosis Safe de LayerZero?
Les acusacions se centren en l’ús imprudent del multisig 2-of-5 Gnosis Safe de LayerZero, un mètode pel qual asseguren les fitxes dels seus usuaris i controlen parts clau de la seva infraestructura OFT.
A partir de captures de pantalla d’una discussió interna que es va fer viral a X, tres dels cinc signants del multisig Gnosis Safe van participar activament en activitats no relacionades amb el procés multisig.
🚨JUST IN: @LayerZero_Core s’enfronta a denúncies d’opsec després que les claus multisig de producció utilitzades per assegurar els fons dels usuaris també s’hagin utilitzat per comerciar amb el memecoin de McPepes.
Bryan de LayerZero va dir que les transaccions les van fer persones que formaven part del multisig LZ però que des de llavors han… pic.twitter.com/k5YR7jyCg6
— SolanaFloor (@SolanaFloor) 8 de maig de 2026
Les adreces dels signants inclouen:
- 0x1f5E377a3ADBe6f3289ADb6b21eae6427dfbb553, que s’associa amb el comerç del memecoin anomenat PEPES (McPepes) i la plataforma Hop.
- 0xBb6633c267951E938F9B6421E4F54aa5b2c19326, que tenia aproximadament 12 milions de dòlars i participava en la participació de Stargate.
- 0x6fC8342C448F9a8d541C17579EF7A14237b8d5aD, implicat en l’aprovisionament de liquiditat a Curve, PancakeSwap i SpookySwap.
Una transacció notable l’1 de març de 2023 va implicar l’intercanvi de 0,198548073 $ETH per aproximadament 1,73 milions de fitxes del token ERC-20 McPepes/PEPES mitjançant Uniswap V3.
Això s’ha citat com a prova que les claus de producció, el propòsit de les quals era salvaguardar milers de milions de dòlars, estaven enllaçades a llocs web fora de la xarxa, deixant-los vulnerables als atacs de pesca.
El multisig no tenia un tancament de temps, i les claus van romandre estancades durant diversos anys. Les mateixes parts són responsables de la configuració de DVN controlada per múltiples signes i de les biblioteques per als protocols compatibles amb LayerZero.
Les transaccions en cadena donen suport a l’afirmació que els signants de producció van realitzar intercanvis Uniswap per als McPepes abans del $PEPE calendari de desplegament de testimonis.
Vulnerabilitats informades vinculades a la configuració multisig
El multisig LayerZero es va crear per servir com a capa de protecció definitiva per a fitxes pont. No obstant això, les accions descrites van trencar la regla fonamental OPSEC d’aïllament de claus. Mitjançant l’ús de les mateixes claus per negociar en intercanvis descentralitzats, els signants corren el risc de ser vulnerables als atacs de contractes maliciosos i esquemes de pesca.
Val a dir que només dues claus robades van ser suficients per buidar tot el multisig.
El moment de la divulgació està associat amb un escrutini més gran de l’enfocament de seguretat de LayerZero. Tal com va informar Cryptopolitan, només unes hores abans, Solv Protocol va revelar la seva intenció de migrar més de 700 milions de dòlars de BTC tokenitzats (SolvBTC i xSolvBTC) al CCIP de Chainlink de LayerZero.
L’empresa va citar actualitzacions de revisions de seguretat i problemes de pont, com ara el recent hack de Kelp DAO que utilitzava ponts LayerZero. Tot i que Solv no va mencionar aquest incident en el seu anunci, encara il·lustra un cert grau d’escepticisme cap a LayerZero.
El CEO de LayerZero, Bryan Pellegrino, parla sobre aquest tema
En resposta a les acusacions, el CEO de LayerZero, Bryan Pellegrino, va dir que les transaccions es van originar d’antics membres de la cartera multisig que havien estat arrencades. Va negar que hi hagués cap cosa com el “comerç de memecoin”, dient que només es tractava de proves OFT, no especulacions.
A més, va assenyalar que les carteres ja no participaven en funcions de signatura.
Com es mostra a les captures de pantalla, els escèptics van plantejar problemes sobre la descripció de l’incident, citant que la transacció va ser entre McPepes (no $PEPE) i plantejant dubtes sobre com $ETH al comerç de memecoin mitjançant Uniswap es podria classificar com a proves OFT.
S’ha informat que els signants en qüestió han estat eliminats de la multisignatura. LayerZero no s’havia fet pública cap contrarefutació o auditoria completa de totes les accions anteriors realitzades pels signants.
Crypto Twitter va darrere de LayerZero
Zach Rynes ha anat contra LayerZero, qualificant les mesures de seguretat d'”opsec horrible”. Rynes va assenyalar els perills que suposa aquest comportament per als usuaris que executen LayerZero en la seva configuració predeterminada. Ha citat possibles exploits de la cadena de subministrament.
A més, afirma que les claus de producció mai s’han d’utilitzar per a res més que per a tasques vitals.
Realment m’agradaria estar fent broma, és horrorós el que passa per “opsec” en aquesta indústria
— Zach Rynes | CLG (@ChainLinkGod) 8 de maig de 2026
Les reaccions de la comunitat X van des de la sorpresa pel que van percebre com “pallassos i delinqüents” que treballaven dins del domini de la infraestructura fins a una crida a més obertura i transparència.
Qualsevol vulnerabilitat potencial dins del multisig de LayerZero, que actua com a intermediari per a la comunicació de cadena a cadena, podria ser molt preocupant.
