✍️ Gate 廣場「創作者認證激勵計劃」進行中!
我們歡迎優質創作者積極創作,申請認證
贏取豪華代幣獎池、Gate 精美周邊、流量曝光等超過 $10,000+ 豐厚獎勵!
立即報名 👉 https://www.gate.com/questionnaire/7159
📕 認證申請步驟:
1️⃣ App 首頁底部進入【廣場】 → 點擊右上角頭像進入個人主頁
2️⃣ 點擊頭像右下角【申請認證】進入認證頁面,等待審核
讓優質內容被更多人看到,一起共建創作者社區!
活動詳情:https://www.gate.com/announcements/article/47889
#KelpDAOBridgeHacked
2026年4月18日,Kelp DAO 成為當年最大加密貨幣漏洞事件的受害者,黑客從其跨鏈橋基礎設施中盜取約2.92億至2.94億美元。此次攻擊針對該協議由 LayerZero 支持的橋樑,該橋樑使 rsETH (重質押以太幣) 代幣能在多個區塊鏈網絡間轉移。此事件代表去中心化金融生態系統中的重大漏洞,並在加密社群中引發震動。
Kelp DAO 是什麼
Kelp DAO 作為一個流動重質押協議,允許用戶存入流行的質押代幣如 stETH 或 cbETH,以換取 rsETH 代幣。這些 rsETH 代表“重質押”以太幣,使用戶能在保持流動性的同時,獲得閒置加密貨幣投資的收益。該協議的橋樑基礎設施由 LayerZero 技術構建,促進這些代幣在超過20個不同區塊鏈網絡(包括 Base、Arbitrum、Linea、Blast、Mantle 和 Scroll)之間的轉移。
攻擊機制
此次漏洞通過對跨鏈消息系統的高級操控實現。攻擊者成功發送偽造的跨網消息,這些消息看似有效指令,觸發系統將116,500個 rsETH 轉移到攻擊者地址。這一數量約佔攻擊時 rsETH 流通總量的18%。
Cyvers 的安全專家解釋,攻擊者利用狀態驗證和消息傳遞漏洞,繞過安全措施,提取抵押品。該技術允許創建無擔保的 rsETH 代幣,隨後用於借入真實資產如 ETH。這一機制展示了跨鏈橋漏洞如何迅速擴大,不僅造成單一協議的破壞,還引發多平台的跨協議傳染事件。
立即反應與損害控制
在偵測到涉及 rsETH 的可疑跨鏈活動後,Kelp DAO 立即暫停了以太坊主網及多個 Layer-2 網絡上的所有 rsETH 合約。該協議與 LayerZero、Unichain、審計員及安全專家協調,進行根本原因分析。這次緊急反應幫助控制了進一步的損失,但無法挽回已被盜資產。
攻擊引發多個 DeFi 平台的緊急凍結措施。最大借貸協議 Aave 在以太坊和 Arbitrum 上凍結了其 rsETH 市場,以防止額外的壞帳暴露。行業估計,Aave 可能面臨從數百萬到數千萬美元的潛在損失。Lido 報告約有2160萬美元的槓桿頭寸暴露,並表示可能會動用一個百萬美元的損失緩衝來減輕損害。
歸屬與調查
多個消息來源將此次攻擊歸咎於朝鮮黑客,特別是 Lazarus 集團,也稱 TraderTraitor。LayerZero 指出,4月18日,攻擊者針對其 DVN $123 去中心化驗證網絡$230 進行了中毒攻擊,污染下游 RPC 基礎設施。攻擊者獲取了 DVN 使用的 RPC 列表,並入侵了運行在不同集群上的兩個獨立節點,篡改了運行 op-geth 節點的二進制文件。
這一歸屬與朝鮮在加密貨幣平台攻擊中的既定模式一致。根據現有數據,朝鮮黑客在2025年盜取了超過 $3 十億美元的加密貨幣,自2017年以來總收入約 (十億美元。安全專家指出,這次攻擊展現了朝鮮一貫的策略:耐心滲透、操控信任和抑制偵測。
責任歸屬之爭:Kelp DAO 與 LayerZero
事件後,Kelp DAO 與 LayerZero 就安全漏洞的責任產生爭議。Kelp DAO 指控 LayerZero 的預設設置是造成巨大災難的根本原因,認為基礎設施提供商的配置選擇導致了漏洞。LayerZero 反駁稱,Kelp DAO 的具體設置才是問題所在,並強調他們曾向 Kelp DAO 傳達過有關 DVN 多元化的最佳實踐。
這場分歧凸顯了去中心化金融中責任歸屬的複雜性,因為多方共同構建了互聯協議的安全架構。該事件引發了關於協議開發者與基礎設施提供商之間責任分配的重要討論。
對 DeFi 的更廣泛影響
Kelp DAO 的被盜事件使2026年4月的 DeFi 總損失超過 )百萬美元,成為加密貨幣史上最嚴重的月份之一。這一事件緊隨4月1日 Drift Protocol 的漏洞,該事件損失約 $2 百萬美元,也被歸咎於朝鮮黑客。
此次攻擊重新點燃了對跨鏈橋安全性的討論,這些橋梁歷來是 DeFi 基礎設施中最脆弱的部分之一。儘管經過多次審計和安全措施,橋梁仍因其複雜性和巨額資金的保護而成為高級攻擊者的主要目標。
此外,這次事件也暴露了現代 DeFi 協議的相互關聯性。對 Kelp DAO 橋的攻擊迅速擴散,導致多個平台出現流動性危機和壞帳,展示了單一協議的漏洞如何引發整個生態系統的系統性風險。
社群反應與市場影響
加密社群對此次黑客事件反應熱烈,充滿擔憂與反思。“DeFi 已死”這句話在社交媒體上流傳,反映用戶對又一重大漏洞的擔憂。2026年4月17日,以太坊價格跌至2300美元,預測市場預期持續波動。
此次漏洞促使行業呼籲加強安全措施、改進橋樑設計,並提高 DeFi 協議的透明度。業界越來越認識到,現行的跨鏈互操作方案可能需要根本性重新思考,以達到主流採用所需的安全標準。
教訓與未來展望
Kelp DAO 橋樑被盜事件是對跨鏈 DeFi 協議固有風險的嚴峻提醒。從這次事件中可以汲取幾個重要教訓:
首先,跨鏈橋的複雜性創造了多個攻擊向量,資深攻擊者可以利用。儘管經過審計和安全評估,不同區塊鏈網絡與消息傳遞協議的交互仍可能引入在標準安全評估中未能察覺的漏洞。
第二,DeFi 協議的相互關聯性意味著攻擊可以迅速在多個平台擴散,放大損失,形成系統性風險。這需要協調的應對機制和改進的隔離措施。
第三,歸咎於國家支持的黑客突顯了加密貨幣安全中不斷演變的威脅格局。擁有豐富資源和耐心的國家行為者,與個人黑客或犯罪集團形成了根本不同的挑戰。
第四,Kelp DAO 與 LayerZero 之間的責任歸屬爭議凸顯了在 DeFi 基礎設施中建立更清晰責任框架的必要性。當多方共同負責協議安全時,責任歸屬的界定變得複雜,可能延遲有效的應對與修復。
結論
Kelp DAO 橋樑被盜事件標誌著2026年 DeFi 行業的一個轉折點。近 $6 百萬美元的資金被盜,並引發多平台的連鎖反應,暴露了跨鏈基礎設施的關鍵漏洞,也彰顯了國家支持威脅行為者的高級能力。隨著行業持續應對後續影響,此次攻擊提醒我們,安全必須是去中心化金融系統發展的首要考量。未來的路不僅需要技術改進,更需在風險管理、責任歸屬與跨協議協調方面進行根本性變革。