#KelpDAOBridgeHacked Kelp DAO 橋樑遭駭：$292 百萬資金被利用，震撼 DeFi 核心

跨鏈安全的嚴重失誤導致2026年最大規模的DeFi駭客事件，引發Kelp DAO與LayerZero之間激烈的責任推諉，同時威脅到Aave等主要借貸協議的運作。

在迅速成為今年最具破壞性的去中心化金融(DeFi)漏洞事件中，Kelp DAO在週末損失了$292 百萬資金。此次攻擊針對該協議由LayerZero支援的跨鏈橋，導致116,500個rsETH代幣被盜。

該事件發生於4月18日，不僅抽走了Kelp的大量流動性，也引發了整個生態系的連鎖危機，牽連到借貸巨頭Aave，並激起了關於安全責任歸屬的激烈爭議。

攻擊路徑：駭客如何繞過安全措施

駭客在利用漏洞前約10小時，透過Tornado Cash資助其錢包，這是由高級駭客團體常用的模糊化技術。包括區塊鏈偵探ZachXBT在內的初步調查，指向北韓拉撒路組織（Lazarus Group）可能是幕後主使。

攻擊的技術手段非常複雜。根據報導，駭客攻破了LayerZero Labs的去中心化驗證網絡(DVN)所使用的RPC節點清單。通過毒化兩個節點並對其他節點發動DDoS攻擊，駭客迫使網絡接受一個偽造的跨鏈訊息。

這個假訊息欺騙了Kelp DAO的橋接合約，使其“釋放”了本應保持鎖定的116,500個rsETH，並在以太坊主網上被轉移。

責任推諉：Kelp DAO對比LayerZero

事後，Kelp DAO與LayerZero之間爆發公開爭執，針對漏洞的根本原因展開辯論。

· LayerZero立場：該公司明確指責Kelp DAO使用了“1對1的DVN”(去中心化驗證網絡)配置。他們認為此設置造成了災難性的一點故障，因為沒有獨立的第二驗證者來標記惡意交易。LayerZero聲稱已就多元化的最佳實踐進行溝通，但Kelp選擇未採用。
· Kelp DAO的辯護：Kelp DAO強烈反駁這些指控，表示1對1的DVN模型是LayerZero官方文件中為新OFT(全鏈通用代幣)部署所列的預設配置。Kelp堅稱自2024年1月起就運行在此基礎設施上，且此前已由LayerZero代表確認此設置適當。

傳染效應擴散：Aave面臨$230M 漏洞

此次駭客事件最嚴重的後果是對Aave的系統性風險。

駭客未出售被盜的rsETH，而是將89,567個代幣存入Aave作為抵押品，並借出了約$190 百萬的WETH和wstETH。這使得Aave持有的抵押品價值受到根本性破壞。

根據Aave Labs的事件報告，Aave的潛在損失根據Kelp DAO如何分配短缺資金而大不相同：

1. 共同損失($124 百萬)：如果損失分攤給所有rsETH持有者(15%的脫鉤事件)。
2. Layer 2隔離($230 百萬)：如果損失僅限於Layer 2網絡，導致Aave主網持有的抵押品部分無法支持。

作為回應，Aave已在V3和V4市場中凍結rsETH，將借貸比率設為零，以防止進一步借款。Aave的代幣(AAVE)在消息傳出後下跌10%，超過$10 十億的總鎖倉價值（TVL）也因用戶急於提款而流失。

緊急措施：Arbitrum凍結(百萬資金

在一次罕見的快速治理干預中，Arbitrum安全委員會介入，凍結了30,766 ETH，約值$7110萬，與Arbitrum One網絡上的漏洞事件相關。

這些資金已轉移到一個中介凍結錢包。Arbitrum表示，這些資產將在正式治理決策前保持不動，未來可能用於退款。委員會指出，該行動是在執法部門的協助下，根據對攻擊者身份的調查作出的。

接下來會怎樣？

目前情況仍在變化，但十分嚴峻。Kelp DAO已暫停其在主網和多個Layer-2網絡上的rsETH合約。解決方案的核心問題是，Kelp DAO可能沒有足夠的資金庫存來單方面彌補)百萬的損失。

業界觀察人士認為，LayerZero可能被迫介入，以挽救其OFT生態系的聲譽，或Aave可能需要動用其DAO資金庫$71 $292 百萬(來彌補壞帳。然而，雙方目前都否認有直接責任。