✍️ Gate 广场「创作者认证激励计划」进行中!
我们欢迎优质创作者积极创作,申请认证
赢取豪华代币奖池、Gate 精美周边、流量曝光等超 $10,000+ 丰厚奖励!
立即报名 👉 https://www.gate.com/questionnaire/7159
📕 认证申请步骤:
1️⃣ App 首页底部进入【广场】 → 点击右上角头像进入个人主页
2️⃣ 点击头像右下角【申请认证】进入认证页面,等待审核
让优质内容被更多人看到,一起共建创作者社区!
活动详情:https://www.gate.com/announcements/article/47889
#KelpDAOBridgeHacked
KelpDAO 桥梁黑客事件:对 DeFi 安全的沉重打击
2026年4月18日,流动再质押协议 KelpDAO 遭遇了 DeFi 历史上最具灾难性的安全漏洞之一,攻击者窃取了约 116,500 个 rsETH 代币,价值在 $292 至 $294 million 之间。此次漏洞现已成为 2026 年规模最大的 DeFi 黑客事件,超过了本月早些时候 Drift Protocol 创下的 $285 million 损失纪录。
此次攻击针对 KelpDAO 的跨链桥基础设施,具体是从 Unichain 到以太坊主网运行的 rsETH 桥通道。该协议依赖 LayerZero 的 OFT 标准进行跨链代币转移,但其安全架构中存在关键漏洞。KelpDAO 已将其桥配置为 1-of-1 去中心化验证者网络设置,意味着在释放资金之前,由单一验证者节点负责验证所有入站跨链消息。这个集中式的单点故障最终被证明正是攻击者利用的致命弱点。
攻击手法精密且分多阶段。首先,肇事者至少攻破了两个向唯一验证者提供数据的 RPC 节点,注入了旨在伪造虚假跨链消息的恶意软件。随后,他们对未受影响的 RPC 节点发起了 DDoS 攻击,迫使系统切换到已被攻破的基础设施。这样便形成了一个回音室,毒化后的数据成为唯一的事实来源。随后,被攻破的验证者在 LayerZero 的 EndpointV2 合约上批准了伪造的 lzReceive 调用,铸造并直接将 116,500 个未被背书的 rsETH 代币释放到攻击者控制的地址。随后,恶意软件自毁,抹除日志以掩盖踪迹。
事态远远超出了 KelpDAO 本身。攻击者立即将窃取的 rsETH 作为抵押品部署到至少 9 个主要 DeFi 协议中,包括 Aave V3 和 V4、Compound V3、Euler、SparkLend、Fluid 以及 Upshift,并从中借入超过 $236 million 的 WETH。随后,他们将约 $178 million 的资产在以太坊主网上兑换成 ETH,并在 Arbitrum 上兑换了 $72 million。被窃的 rsETH 目前仍在包括 Base、Arbitrum、Linea 和 Blast 在内的 20 多条区块链网络中被搁置,且未被背书。
这一次单独的漏洞在整个 DeFi 生态系统中引发了连锁性的系统性后果。去中心化金融协议的总锁仓价值(TVL)在 48 小时内从 $13 跌至 $14 billion。仅 Aave 一家就出现了从 $6 至 $8.45 billion 的存款外逃,其原生代币价值约下跌 10%。此次事件在多个借贷协议中造成了显著的坏账,并迫使众多 DeFi 平台采取紧急应对措施。
应对行动在漏洞被利用后的几分钟内就开始了。KelpDAO 的多签在 UTC 时间 18:21 暂停了主网及多个 Layer-2 网络上的核心 rsETH 合约,距离最初的入侵约 46 分钟。随后,两次合计约 40,000 个 rsETH 的抽干(drain)尝试均因这些保护措施而失败。Aave 在数小时内冻结了 V3 和 V4 上的 rsETH 市场,SparkLend、Fluid 与 Upshift 随后也采取了类似行动。Lido 暂停了 earnETH 存款,而 Ethena 在未直接暴露的情况下,出于谨慎考虑临时暂停了其 LayerZero 桥约 6 小时。
关于 KelpDAO 与 LayerZero 之间责任归属的争论,已成为该事件后续叙事的核心。KelpDAO 坚持认为 LayerZero 的默认配置设置促成了该漏洞的形成,而 LayerZero 则反驳称 KelpDAO 实施了偏离推荐安全实践的自定义弱配置。LayerZero 将此次攻击归因于朝鲜的 Lazarus 集团,并援引取证证据,称该行动与这一由国家支持的黑客组织有关。攻击者在执行漏洞前约 10 小时,通过 Tornado Cash 为其初始钱包提供了资金。
此次事件所揭示的不仅是一次孤立的安全漏洞。它暴露了在 DeFi 领域中跨链桥如何进行架构设计与安全保障的根本性薄弱环节。即便这些机制被标榜为去中心化,依赖单点故障验证机制仍会为技术娴熟的对手创造可被利用的攻击面。而未被背书的代币能够被铸造并立刻被多个主要协议接受为抵押品,这凸显了现代 DeFi 组合性(composability)中存在的相互关联风险。
对于更广泛的加密货币生态系统而言,KelpDAO 黑客事件是一个严峻的警醒:桥梁基础设施仍然是去中心化金融中最脆弱的组成部分之一。尽管进行了多次审计和安全审查,跨链通信协议的复杂性仍持续提供被利用的机会。该事件重新点燃了关于互操作性与安全性之间权衡取舍的讨论,社区中许多人呼吁提出更强健的多签要求以及去中心化验证机制。
随着调查继续推进、受影响的协议努力遏制损失,KelpDAO 的漏洞很可能会在未来多年内影响整个行业的安全标准与最佳实践。此次泄露事件的规模及其连锁影响表明,在日益互联的 DeFi 生态中,单个协议的安全性与其所依赖基础设施的韧性密不可分。