摘要:Kelp DAO因采用单一验证器架构,遭跨链协议LayerZero的RPC节点攻击,损失约2.93亿美元。攻击波及Aave等九个DeFi平台,引发连锁资金外流。LayerZero已宣布永久拒绝支持单验证器应用。
币圈界报道:
跨链安全危机爆发:Kelp DAO单点故障致巨额资产流失
一起针对去中心化金融基础设施的重大安全事件在2026年周末爆发,导致Kelp DAO遭受约2.9亿至2.93亿美元的直接损失。该事件核心源于其依赖单一验证器运行的跨链通信配置,被攻击者利用作为突破口。初步调查指向朝鲜黑客组织Lazarus的TraderTraitor分支,其行动模式与4月初对Drift Protocol的攻击高度相似。
攻击路径揭示:恶意节点伪装与流量劫持
攻击者通过入侵两个远程过程调用节点,将合法服务替换为受控版本。这些被篡改的节点在外部系统面前维持正常响应,同时向LayerZero验证网络发送伪造的交易确认信息。在太平洋时间周六上午10:20至11:40期间,攻击者发动分布式拒绝服务攻击,瘫痪了多个备用验证源,使网络流量被迫导向恶意基础设施。
当系统自动切换至备用机制时,恶意节点成功诱导验证器批准虚假交易。基于此,Kelp的桥接协议向攻击者钱包释放共计116,500枚rsETH代币。完成资金转移后,恶意程序自我销毁,清除服务器上的所有痕迹,极大增加了溯源难度。
生态级冲击:多协议陷入流动性危机
被盗的rsETH代币迅速被用于多个借贷平台作为抵押品,攻击者借此提取真实资产。其中,主导地位的Aave协议承受最严重打击,其总锁定价值出现约60亿美元的资金撤离。原生代币价格在24小时内下跌逾15%,用户恐慌性撤资导致系统流动性急剧恶化。
除Aave外,Fluid、Compound Finance、SparkLend和Euler等至少九个DeFi项目亦受到波及。网络安全机构Cyvers将其定性为“跨协议传染性事件”,表明单一平台漏洞可能引发全网信任崩塌。此次事件与4月1日的Drift Protocol攻击同属Lazarus组织,18天内累计非法获利超5.75亿美元。
安全策略重构:单一验证器将被永久禁用
LayerZero确认,未发现攻击扩散至采用多重独立验证源的应用。公司已完成系统恢复,并宣布实施长期政策:不再为任何使用单一验证器架构的应用提供消息处理服务。这一决定标志着对基础架构安全标准的重新定义。
Curve Finance创始人Michael Egorov指出,该事件凸显了对单一验证节点的过度依赖所蕴含的系统性风险,建议非必要场景避免接入跨链基础设施。Ledger首席技术官Charles Guillemet则警告,2026年或将成为加密行业遭遇最严峻安全挑战的一年——仅第一季度相关损失已突破4.82亿美元。目前,Kelp DAO尚未就其采纳高风险配置的原因作出公开说明,也未回应此前收到的安全预警。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。