KelpDAO在4月18日遭受了$290 百万美元损失,发生在一次与拉撒路集团(Lazarus Group)有关的复杂安全入侵中;据早期报道,这名肇事者被称为TraderTraitor。4月20日,2026年,大卫·施瓦茨(David Schwartz)指出:“这次攻击比我预期的要复杂得多,并且旨在利用KelpDAO的懒惰来针对LayerZero基础设施。”
攻击是如何发生的
此次攻击采用了多阶段的方式,而不是简单的漏洞利用。攻击者首先瞄准了LayerZero验证网络所使用的RPC系统,然后发起DDoS攻击以扰乱正常运作。当系统切换到备用节点时,攻击者执行了他们的关键目标:这些备用节点早已被攻陷,从而使他们能够发送虚假的信号并确认从未实际发生的交易。值得注意的是,没有破解任何核心协议或私钥。相反,攻击利用的是系统配置中的薄弱环节,展示了现代网络威胁的复杂性。
将单点故障视为根本原因
根本漏洞源自KelpDAO的配置设计。该平台依赖于1-of-1(1人验证)的验证设置,这意味着只有一个验证者在确认交易时发挥作用,且没有备用验证层。一旦这个单一系统被攻陷,攻击就能在没有任何次级防御的情况下成功。专家指出,这就形成了明确的单点故障。LayerZero此前曾建议使用多个验证者,而采用多层验证设置本可以完全阻止此次攻击。
影响与范围
尽管损失数额巨大,但损害仍被控制在特定区域。报告确认,此次入侵仅影响了KelpDAO的rsETH产品,其他资产和应用不受影响。LayerZero迅速替换了被攻陷的系统并恢复了正常运作。团队正在与调查人员合作,以追踪被盗资金。此次事件也引发了全行业对先进系统中配置安全性的担忧。
对加密安全的启示
此次事件表明,安全不仅取决于代码强度,也取决于系统配置与管理实践。拉撒路集团的参与——这是一支历史上与大规模漏洞利用有关的网络团体——进一步令人担忧,因为他们的方法仍在不断演变。展望未来,项目可能会越来越优先考虑冗余以及风险控制机制。多层验证或将成为行业标准。KelpDAO此次攻击警示我们:系统架构中即便只有一个薄弱环节,也可能导致巨额损失。随着加密领域不断扩张,安全实践必须以相应的速度演进。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
DeFi 黑客事件引发 Aave 资金净流出 $9 十亿美元:被盗代币作为抵押使用
最近一次黑客攻击从一个加密项目中盗走了近 $300 百万美元,导致 Aave 出现流动性危机,使用户撤回了约 $9 十亿美元。对抵押品质量的担忧促成了大规模提款,凸显了 DeFi 借贷中的风险。
GateNews30 分钟前
以太坊网络钓鱼攻击掏空 $585K 来自四位用户,单一受害者损失 $221K WBTC
一次协调的以太坊网络钓鱼攻击在 11 小时内从四名受害者手中骗走了 $585,000,利用欺骗性链接来滥用用户权限。该事件凸显了社交工程在“看似合法”的情况下仍可能造成资金的迅速流失。
GateNews2小时前
请注意签署内容!Vercel 遭勒索 200 万美元,加密协议前端安全拉响警报
云端开发平台 Vercel 于 4 月 19 日遭黑客入侵,攻击者通过员工使用的第三方 AI 工具取得访问权限,并威胁勒索 200 万美元。虽然敏感数据未被访问,但其他数据可能已被利用。该事件引发加密社区的安全担忧,Vercel 目前正在进行调查并建议用户更换密钥。
鏈新聞abmedia3小时前
LayerZero 响应 Kelp DAO 2.92 亿事件:指 Kelp 自选 1-of-1 DVN 配置,黑客为北韩 Lazarus
LayerZero 针对 Kelp DAO 2.92 亿美元遭駭事件发表声明,指责 Kelp 自选 1-of-1 DVN 配置使事件成为可能,攻击者为北韩 Lazarus 集团。LayerZero 强调此事件源于配置选择,并将不再支持此类脆弱设置。此外,责任归属仍存争议,未提供赔偿方案。
鏈新聞abmedia4小时前
DeFi 黑客4月盗走6亿美元,Kelp DAO和Drift占月度损失95%
2026 年 4 月仅 20 天内,加密协议因黑客攻击损失超过 6.06 亿美元,成为自 2025 年 2 月交易所 14 亿美元数据泄露事件以来最严峻的单月损失记录。KelpDAO 和 Drift Protocol 两起攻击合计占 4 月损失的 95%,以及 2026 年截至目前 7.718 亿美元总损失的 75%。
Market Whisper4小时前
