博鏈BroadChain獲悉,4月23日 12:16,4月19日凌晨,Kelp DAO基於LayerZero的rsETH跨鏈橋遭遇攻擊,約116,500枚rsETH在無對應銷毀記錄的情況下從主網流出,損失約2.92億美元。攻擊發生後一小時內,Kelp緊急暫停合約,但攻擊者後續兩次嘗試追加攻擊,若非合約已暫停,潛在總損失可能高達3.91億美元。
這已是2026年DeFi領域單次損失的最高記錄。攻擊的核心在於驗證機制的單點故障。Kelp採用了LayerZero允許的最弱安全配置——1/1 DVN,即僅需單個驗證器簽名即可通過跨鏈消息。安全專家指出,這本質上是一個無法通過審計修復的架構缺陷。
早在2025年1月,已有開發者在Aave治理論壇提醒Kelp應擴展至多驗證器配置,但該建議在15個月內未被採納。LayerZero事後宣布將停止為仍使用單驗證器的應用批准消息。技術失守迅速引發了系統性傳染。
攻擊者將盜取的rsETH存入Aave、Compound等多個借貸平台,借出超過2.36億美元的真實資產。Aave隨即凍結相關市場,導致流動性驟然收緊,波及超過100億美元的提款潮。Fluid、Upshift、Lido Earn等至少9個協議相繼觸發緊急響應。
這暴露了LRT(流動性再質押代幣)作為抵押品在多層組合後,底層儲備清空導致整條信任鏈同時失衡的風險。此次攻擊的歸因存在爭議。LayerZero將其歸因於朝鮮黑客組織Lazarus Group,但安全公司Cyvers表示尚未確認相關錢包聚類。
攻擊者使用的惡意節點軟體在事後自動清除了痕跡,增加了取證難度。這反映出DeFi行業在攻擊溯源和情報共享方面缺乏系統性協作。接連發生的巨額攻擊事件表明,DeFi現有的安全管理框架正面臨嚴峻挑戰。
安全演進需要協議設計者、基礎設施層、借貸平台等多方共同參與,重新校準風險假設,並建立更系統的資訊共享與強制風控機制。