摘要:跨链桥协议Kelp DAO遭遇重大网络攻击,116,500枚rsETH被盗,总损失达2.92亿美元。攻击者利用单验证器配置漏洞,将被盗资产用于Aave协议抵押借贷,引发系统性风险担忧。目前各方正评估清算与补偿机制。
币圈界报道:
去中心化金融平台遭遇严重安全危机,跨链资产遭大规模盗取
本周末,去中心化金融领域爆发一起影响深远的网络安全事故。核心跨链基础设施Kelp DAO遭受恶意入侵,导致116,500枚rsETH代币被非法转移,折合市值高达2.92亿美元,成为年内最严重的DeFi安全漏洞事件。该协议在以太坊生态中承担关键资产跨链流转职能,其底层架构依赖于知名协议LayerZero。
攻击路径揭示:节点操控触发欺诈性跨链指令
事件追溯至4月18日,技术分析表明,攻击者通过获取LayerZero去中心化验证网络(DVN)中部分RPC节点的控制权,操纵其中两个节点实施拒绝服务攻击,并伪造合法跨链消息。系统误判后执行了未经授权的交易流程,致使大量rsETH被转移。此次漏洞暴露出Kelp DAO采用单一验证器结构的固有缺陷,而非多节点协同验证机制。
LayerZero官方声明指出:“尽管已多次向Kelp DAO团队提供关于DVN多样化部署的最佳实践建议,但后者持续维持1/1的验证器配置。”
架构设计争议:单点故障隐患长期未解
报告强调,单验证器模式绕开了独立监督机制,构成显著的安全薄弱环节。对此,Kelp DAO回应称,该配置在LayerZero官方文档中被列为默认设置,并曾通过双方直接沟通获得确认。
团队补充说明,自今年初以来一直基于LayerZero运行,且与开发方保持定期协作。目前,项目方已启动全面审计流程,将攻击者地址列入黑名单,并暂停相关智能合约调用。这些应急响应措施对遏制事态扩大起到关键作用。所有后续恢复操作均需经过严格审查。
风险外溢至借贷生态,潜在坏账规模引关注
此次攻击后果迅速蔓延至加密借贷市场。攻击者将部分被盗的rsETH存入Aave V3协议作为抵押品,成功借出82,650枚WETH及821枚wstETH,可能引发系统性信用风险。
最新监测显示,攻击者使用约89,567枚rsETH(价值约2.21亿美元)作为大额贷款担保。由于Kelp DAO尚未公布损失分摊方案,Aave治理社区提出两种情景推演:若损失由全网承担,rsETH供应价值或下跌15.12%,在Aave上形成约1.237亿美元坏账,其中以太坊主网将承受最大冲击,达9,180万美元;若仅影响二层网络而主网资产充足,二层资产可能贬值73.54%,导致2.301亿美元坏账。当前Aave的5400万美元“WETH保护伞”保险基金仅覆盖第一种情形。
据Aave管理方披露,最终结果高度依赖Kelp DAO的清算流程与预言机比率更新策略。目前协议持有1.81亿美元资产,并已获得社区额外支持承诺,以应对潜在资金缺口。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。