✍️ Gate 广场「创作者认证激励计划」进行中!
我们欢迎优质创作者积极创作,申请认证
赢取豪华代币奖池、Gate 精美周边、流量曝光等超 $10,000+ 丰厚奖励!
立即报名 👉 https://www.gate.com/questionnaire/7159
📕 认证申请步骤:
1️⃣ App 首页底部进入【广场】 → 点击右上角头像进入个人主页
2️⃣ 点击头像右下角【申请认证】进入认证页面,等待审核
让优质内容被更多人看到,一起共建创作者社区!
活动详情:https://www.gate.com/announcements/article/47889
#KelpDAOBridgeHacked
2026年4月18日,Kelp DAO 成为当年最大加密货币漏洞的受害者,黑客从其跨链桥基础设施中窃取了约19283746565748392亿到2.94亿美元。此次攻击针对该协议由 LayerZero 支持的桥,允许在多个区块链网络之间转移 rsETH (重新质押的以太币) 代币。此事件标志着去中心化金融生态系统的重大安全漏洞,并在加密社区引发了震动。
什么是 Kelp DAO
Kelp DAO 作为一个流动性再质押协议,允许用户存入流行的质押代币如 stETH 或 cbETH,以换取 rsETH 代币。这些 rsETH 代表“再质押”的以太币,使用户在保持流动性的同时,能够从闲置的加密货币投资中赚取收益。该协议的桥基础设施采用 LayerZero 技术构建,支持在超过20个不同的区块链网络之间转移这些代币,包括 Base、Arbitrum、Linea、Blast、Mantle 和 Scroll。
攻击机制
此次漏洞通过对跨链消息系统的复杂操控发生。攻击者成功发送伪造的跨网络消息,似乎是有效指令,触发系统将116,500个 rsETH 代币转移到攻击者地址。这一数量大约占当时 rsETH 流通总量的18%。
Cyvers 的安全专家解释,攻击者利用了状态验证和消息传递的漏洞,绕过安全措施,提取抵押品。该技术允许创建无担保的 rsETH 代币,然后用以借入真实资产如 ETH。这一机制显示跨链桥漏洞可以迅速升级,不仅造成单一协议的破坏,还可能引发影响多个平台的跨协议传染事件。
立即响应与损害控制
在检测到涉及 rsETH 的可疑跨链活动后,Kelp DAO 立即暂停了以太坊主网及多个 Layer-2 网络上的所有 rsETH 合约。协议与 LayerZero、Unichain、审计员及安全专家合作,进行根本原因分析。这次紧急响应帮助遏制了进一步的损失,但无法挽回已被盗的资产。
此次攻击引发了多个 DeFi 平台的紧急冻结措施。最大规模的借贷协议 Aave 在以太坊和 Arbitrum上冻结了其 rsETH 市场,以防止额外的坏账暴露。行业估计,Aave 可能面临从 $123 百万到 $230 百万的潜在损失。Lido 报告通过杠杆仓位暴露约2160万美元,并表示可能会动用 $3 百万的损失缓冲来减轻损害。
归属与调查
多方消息指责此次攻击由朝鲜黑客,特别是 Lazarus 组织(又名 TraderTraitor)发起。LayerZero 发现,4月18日,攻击者通过中毒下游 RPC 基础设施,针对其 DVN (去中心化验证网络) 进行攻击。攻击者获得了 DVN 使用的 RPC 列表,入侵了两个在不同集群上运行的独立节点,并更换了运行 op-geth 节点的二进制文件。
这一归属符合朝鲜针对加密货币平台的既定模式。据可用数据显示,朝鲜黑客在2025年盗取了超过 $2 十亿的加密货币,自2017年以来总共盗取了约 $6 十亿。安全专家指出,此次攻击展现了朝鲜一贯的“耐心入侵、操控信任、压制检测”的策略。
责任归属争议:Kelp DAO 与 LayerZero
事件发生后,Kelp DAO 与 LayerZero 就安全责任问题爆发争执。Kelp DAO 声称,LayerZero 的默认设置是造成巨大灾难的根本原因,暗示基础设施提供商的配置选择造成了漏洞。LayerZero 反驳称,Kelp DAO 的具体设置存在问题,并强调他们曾就 DVN 多样化的最佳实践与 Kelp DAO 进行过沟通。
此争议凸显了去中心化金融中责任归属的复杂性,多个方共同构建了互联协议的安全基础。该事件引发了关于协议开发者与基础设施提供商在 DeFi 生态中责任分配的重要讨论。
对 DeFi 的更广泛影响
Kelp DAO 的被攻事件使2026年4月的总 DeFi 漏洞损失超过 $600 百万,成为加密货币历史上损失最严重的月份之一。紧随其后的是2026年4月1日 Drift Protocol 的漏洞,造成约 $285 百万的损失,也被归咎于朝鲜黑客。
此次事件重新点燃了对跨链桥安全性的讨论。尽管经过多次审计和安全措施,桥仍因其复杂性和庞大的价值存储成为攻击者的主要目标。
此外,此次事件暴露了现代 DeFi 协议的相互关联性。对 Kelp DAO 桥的攻击迅速蔓延,导致多个平台出现流动性危机和坏账,显示出单一协议的漏洞可以引发整个生态系统的系统性风险。
社区反应与市场影响
加密社区对这次黑客事件反应强烈,纷纷表达担忧和反思。“DeFi 已死”这一说法在社交媒体上传播,用户对又一次重大漏洞的影响深感忧虑。2026年4月17日,以太坊价格跌至2300美元,预测市场预期持续波动。
此次漏洞促使行业呼吁加强安全措施、改进桥设计以及提升 DeFi 协议的透明度。业内逐渐认识到,当前的跨链互操作方案可能需要根本性 rethink,以实现必要的安全标准,推动主流采用。
教训与未来展望
Kelp DAO 桥漏洞是对跨链 DeFi 协议固有风险的严峻警示。由此总结出几个关键教训:
第一,跨链桥的复杂性带来了多重攻击路径,复杂的交互使得攻击者可以利用漏洞。尽管经过审计,链间消息协议的交互仍可能隐藏未被发现的安全隐患。
第二,DeFi 协议的相互依赖性意味着漏洞可能迅速在多个平台蔓延,放大损失。这种系统性风险需要协调的应对机制和协议间的更好隔离。
第三,归因于国家支持的黑客,凸显了加密货币安全威胁的演变。拥有大量资源和耐心的国家行为体,带来与个人黑客或犯罪团伙截然不同的挑战。
第四,Kelp DAO 与 LayerZero 之间的争议强调了在 DeFi 基础设施中建立更清晰责任框架的必要性。当多个方共同维护协议安全时,责任认定变得复杂,可能延迟有效的应对和修复。
结论
Kelp DAO 桥漏洞事件成为2026年 DeFi 行业的一个转折点。近 $300 百万的资产被窃,影响波及多个协议,暴露了跨链基础设施的关键漏洞,也彰显了国家支持的威胁行为的高超能力。随着行业继续应对后续影响,此次攻击提醒我们,安全必须始终是去中心化金融系统开发的首要任务。未来的道路不仅需要技术改进,还需在风险管理、责任划分和跨协议协调方面进行根本性变革。
Bhai 是不是把整篇文章都用图片做成一张精彩的 VIP 图,稍微提取重点内容,做成一幅震撼的视觉效果图,拜托啦!