#KelpDAOBridgeHacked
2026年4月18日,Kelp DAO成为当年最大加密货币漏洞的受害者:黑客从其跨链桥基础设施中窃取了约 $292-294 million。当时的攻击针对的是该协议由LayerZero驱动的桥,该桥可在多个区块链网络之间转移 rsETH (restaked Ether) tokens。本次事件构成了去中心化金融生态系统中的重大安全漏洞,并在加密社区引发了震动。
什么是Kelp DAO
Kelp DAO作为一种流动再质押协议运行,允许用户存入stETH或cbETH等热门质押代币,以换取rsETH代币。这些rsETH代币代表“再质押”的以太币,使用户在保持加密资产流动性的同时,也能从其闲置的加密投资中赚取收益。该协议的桥接基础设施采用LayerZero技术构建,支持在包括Base、Arbitrum、Linea、Blast、Mantle和Scroll在内的20多个不同区块链网络之间转移这些代币。
攻击机制
此次漏洞是通过对跨链消息系统进行复杂操控而发生的。攻击者设法发送了看起来像有效指令的虚假跨网络消息,从而触发系统将116,500个rsETH代币转移到攻击者地址。该金额约相当于案发时rsETH流通总量的18%。
Cyvers的安全专家解释称,攻击者利用了状态验证和消息传递漏洞,以绕过安全措施并提取抵押品。该技术使得能够创建无担保的rsETH代币,随后这些代币被用来借入真实资产,例如ETH。该机制表明,跨链桥漏洞可能会迅速升级,不仅造成单一协议被突破,还会引发跨协议的连锁感染事件,从而影响多个平台。
立即响应与损害控制
在检测到涉及rsETH的可疑跨链活动后,Kelp DAO立即暂停了以太坊主网以及若干二层网络上的所有rsETH合约。该协议与LayerZero、Unichain、审计员以及安全专家协作开展根因分析。这次紧急响应有助于遏制进一步损害,但无法挽回已被盗取的资产。
此次攻击在多个DeFi平台上触发了紧急冻结。作为规模最大的DeFi借贷协议,Aave在以太坊和Arbitrum上冻结了其rsETH市场,以防止进一步暴露坏账。行业估算认为,由于本次事件,Aave可能面临潜在损失,范围从 $123 million 到 $230 million。Lido报告称,其通过杠杆仓位面临约 $21.6 million 的风险敞口,并表示可能会动用 $3 million 的损失缓冲来减轻损害。
归因与调查
多个来源将此次攻击归因于北朝鲜黑客,具体而言是 Lazarus Group,也被称为TraderTraitor。LayerZero指出:在4月18日,攻击者通过投毒下游RPC基础设施,针对其DVN (Decentralized Validator Network)。攻击者获得了DVN使用的RPC列表,攻陷了运行在不同集群上的两个独立节点,并替换掉运行在op-geth节点上的二进制文件。
这种归因与北朝鲜既有的、针对加密货币平台的作案模式相一致。根据现有数据,北朝鲜黑客在2025年盗取的加密货币超过 $2 billion,使其自2017年以来的累计战果约为 $6 billion。安全专家指出,这次攻击体现了北朝鲜一贯的做法:耐心渗透、操纵信任并压制检测。
甩锅大战:Kelp DAO vs LayerZero
事件发生后,Kelp DAO与LayerZero就安全漏洞责任归属产生了争议。Kelp DAO声称,LayerZero的默认设置才是导致这场巨大灾难的真正原因,并认为基础设施提供方的配置选择制造了这一漏洞。LayerZero反驳称,责任在于Kelp DAO的特定配置,并强调他们此前已就DVN多样化的最佳实践与Kelp DAO进行了沟通。
这种分歧凸显了去中心化金融中问责的复杂性:在互联协议的安全基础架构中,多方都会参与构建安全保障。该事件也提出了关于在DeFi生态中协议开发者与基础设施提供方之间如何分配责任分量的重要问题。
对DeFi的更广泛影响
Kelp DAO的黑客事件推动了2026年4月的DeFi漏洞总损失超过 $600 million,使其成为加密货币历史上损害程度最严重的月份之一。该事件紧接着发生在2026年4月1日Drift Protocol的漏洞之后:当时造成约 $285 million 的损失,同样也被归因于北朝鲜黑客。
此次攻击重新点燃了关于跨链桥安全性的讨论,而跨链桥在历史上一直是DeFi基础设施中最脆弱的组成部分之一。尽管进行了大量审计和安全措施,桥梁由于复杂性以及其所承载的大额价值,仍持续成为复杂攻击者的诱人目标。
该事件也暴露了现代DeFi协议之间的高度互联性。对Kelp DAO桥的攻击很快蔓延为多个平台的流动性危机和坏账局面,表明一个协议中的漏洞如何会在整个生态中制造系统性风险。
社区回应与市场影响
黑客事件发生后,加密社区表现出担忧与反思。在用户面对又一次重大漏洞所带来的影响时,“DeFi is dead”这句话在社交媒体平台上传播开来。2026年4月17日,随着以太坊价格下跌至 $2,300,预测市场也对后续可能持续波动进行了定价。
该漏洞促使人们呼吁加强安全措施、改进桥梁设计,并提高DeFi协议的透明度。业界参与者越来越意识到,要达到主流采用所需的安全标准,当前实现跨链互操作的方式可能需要进行根本性的重新思考。
经验教训与未来考量
Kelp DAO桥的黑客事件提醒人们,跨链DeFi协议中固有的风险不容忽视。该事件中出现了几条关键教训:
首先,跨链桥的复杂性会制造多个攻击入口,使复杂行为者能够加以利用。尽管进行了审计和安全评审,不同区块链网络与消息协议之间的交互仍可能引入一些在标准安全评估中未必能显现的漏洞。
其次,DeFi协议之间相互连通意味着漏洞可以迅速在多个平台蔓延,将损害放大到超出最初被突破的范围。这种系统性风险需要协调一致的响应机制,并在协议之间加强隔离。
第三,将攻击归因于国家支持的黑客,凸显了加密货币安全威胁格局的不断演变。拥有充足资源与耐心的国家行为体,带来的挑战在本质上不同于个人黑客或犯罪团伙。
第四,Kelp DAO与LayerZero之间的争议强调了在DeFi基础设施中需要更清晰的问责框架。当多个方共同参与一项协议的安全保障时,界定责任会变得复杂,可能会延迟有效的应对与恢复工作。
结论
Kelp DAO桥的黑客事件标志着2026年DeFi行业的一个分水岭。随着近 $300 million 的资产被盗,并在多个协议之间产生连锁影响,该事件揭示了跨链基础设施中的关键脆弱点,并突显了国家支持威胁行为者的复杂能力。随着行业继续应对其后果,这次攻击也有力提醒:在去中心化金融系统的开发过程中,安全必须始终是首要关注事项。前进道路将不仅需要技术层面的改进,还需要行业在风险管理、问责以及跨协议协同方面做出根本性的改变。Bhai is per picture banaa do la ke na aap puri post ko uthakar tasvir mein Dal dete ho Thoda Thoda sa mavad uthakar jabardast ek VIP tasvir banaa do meherbani Hogi
2026年4月18日,Kelp DAO成为当年最大加密货币漏洞的受害者:黑客从其跨链桥基础设施中窃取了约 $292-294 million。当时的攻击针对的是该协议由LayerZero驱动的桥,该桥可在多个区块链网络之间转移 rsETH (restaked Ether) tokens。本次事件构成了去中心化金融生态系统中的重大安全漏洞,并在加密社区引发了震动。
什么是Kelp DAO
Kelp DAO作为一种流动再质押协议运行,允许用户存入stETH或cbETH等热门质押代币,以换取rsETH代币。这些rsETH代币代表“再质押”的以太币,使用户在保持加密资产流动性的同时,也能从其闲置的加密投资中赚取收益。该协议的桥接基础设施采用LayerZero技术构建,支持在包括Base、Arbitrum、Linea、Blast、Mantle和Scroll在内的20多个不同区块链网络之间转移这些代币。
攻击机制
此次漏洞是通过对跨链消息系统进行复杂操控而发生的。攻击者设法发送了看起来像有效指令的虚假跨网络消息,从而触发系统将116,500个rsETH代币转移到攻击者地址。该金额约相当于案发时rsETH流通总量的18%。
Cyvers的安全专家解释称,攻击者利用了状态验证和消息传递漏洞,以绕过安全措施并提取抵押品。该技术使得能够创建无担保的rsETH代币,随后这些代币被用来借入真实资产,例如ETH。该机制表明,跨链桥漏洞可能会迅速升级,不仅造成单一协议被突破,还会引发跨协议的连锁感染事件,从而影响多个平台。
立即响应与损害控制
在检测到涉及rsETH的可疑跨链活动后,Kelp DAO立即暂停了以太坊主网以及若干二层网络上的所有rsETH合约。该协议与LayerZero、Unichain、审计员以及安全专家协作开展根因分析。这次紧急响应有助于遏制进一步损害,但无法挽回已被盗取的资产。
此次攻击在多个DeFi平台上触发了紧急冻结。作为规模最大的DeFi借贷协议,Aave在以太坊和Arbitrum上冻结了其rsETH市场,以防止进一步暴露坏账。行业估算认为,由于本次事件,Aave可能面临潜在损失,范围从 $123 million 到 $230 million。Lido报告称,其通过杠杆仓位面临约 $21.6 million 的风险敞口,并表示可能会动用 $3 million 的损失缓冲来减轻损害。
归因与调查
多个来源将此次攻击归因于北朝鲜黑客,具体而言是 Lazarus Group,也被称为TraderTraitor。LayerZero指出:在4月18日,攻击者通过投毒下游RPC基础设施,针对其DVN (Decentralized Validator Network)。攻击者获得了DVN使用的RPC列表,攻陷了运行在不同集群上的两个独立节点,并替换掉运行在op-geth节点上的二进制文件。
这种归因与北朝鲜既有的、针对加密货币平台的作案模式相一致。根据现有数据,北朝鲜黑客在2025年盗取的加密货币超过 $2 billion,使其自2017年以来的累计战果约为 $6 billion。安全专家指出,这次攻击体现了北朝鲜一贯的做法:耐心渗透、操纵信任并压制检测。
甩锅大战:Kelp DAO vs LayerZero
事件发生后,Kelp DAO与LayerZero就安全漏洞责任归属产生了争议。Kelp DAO声称,LayerZero的默认设置才是导致这场巨大灾难的真正原因,并认为基础设施提供方的配置选择制造了这一漏洞。LayerZero反驳称,责任在于Kelp DAO的特定配置,并强调他们此前已就DVN多样化的最佳实践与Kelp DAO进行了沟通。
这种分歧凸显了去中心化金融中问责的复杂性:在互联协议的安全基础架构中,多方都会参与构建安全保障。该事件也提出了关于在DeFi生态中协议开发者与基础设施提供方之间如何分配责任分量的重要问题。
对DeFi的更广泛影响
Kelp DAO的黑客事件推动了2026年4月的DeFi漏洞总损失超过 $600 million,使其成为加密货币历史上损害程度最严重的月份之一。该事件紧接着发生在2026年4月1日Drift Protocol的漏洞之后:当时造成约 $285 million 的损失,同样也被归因于北朝鲜黑客。
此次攻击重新点燃了关于跨链桥安全性的讨论,而跨链桥在历史上一直是DeFi基础设施中最脆弱的组成部分之一。尽管进行了大量审计和安全措施,桥梁由于复杂性以及其所承载的大额价值,仍持续成为复杂攻击者的诱人目标。
该事件也暴露了现代DeFi协议之间的高度互联性。对Kelp DAO桥的攻击很快蔓延为多个平台的流动性危机和坏账局面,表明一个协议中的漏洞如何会在整个生态中制造系统性风险。
社区回应与市场影响
黑客事件发生后,加密社区表现出担忧与反思。在用户面对又一次重大漏洞所带来的影响时,“DeFi is dead”这句话在社交媒体平台上传播开来。2026年4月17日,随着以太坊价格下跌至 $2,300,预测市场也对后续可能持续波动进行了定价。
该漏洞促使人们呼吁加强安全措施、改进桥梁设计,并提高DeFi协议的透明度。业界参与者越来越意识到,要达到主流采用所需的安全标准,当前实现跨链互操作的方式可能需要进行根本性的重新思考。
经验教训与未来考量
Kelp DAO桥的黑客事件提醒人们,跨链DeFi协议中固有的风险不容忽视。该事件中出现了几条关键教训:
首先,跨链桥的复杂性会制造多个攻击入口,使复杂行为者能够加以利用。尽管进行了审计和安全评审,不同区块链网络与消息协议之间的交互仍可能引入一些在标准安全评估中未必能显现的漏洞。
其次,DeFi协议之间相互连通意味着漏洞可以迅速在多个平台蔓延,将损害放大到超出最初被突破的范围。这种系统性风险需要协调一致的响应机制,并在协议之间加强隔离。
第三,将攻击归因于国家支持的黑客,凸显了加密货币安全威胁格局的不断演变。拥有充足资源与耐心的国家行为体,带来的挑战在本质上不同于个人黑客或犯罪团伙。
第四,Kelp DAO与LayerZero之间的争议强调了在DeFi基础设施中需要更清晰的问责框架。当多个方共同参与一项协议的安全保障时,界定责任会变得复杂,可能会延迟有效的应对与恢复工作。
结论
Kelp DAO桥的黑客事件标志着2026年DeFi行业的一个分水岭。随着近 $300 million 的资产被盗,并在多个协议之间产生连锁影响,该事件揭示了跨链基础设施中的关键脆弱点,并突显了国家支持威胁行为者的复杂能力。随着行业继续应对其后果,这次攻击也有力提醒:在去中心化金融系统的开发过程中,安全必须始终是首要关注事项。前进道路将不仅需要技术层面的改进,还需要行业在风险管理、问责以及跨协议协同方面做出根本性的改变。Bhai is per picture banaa do la ke na aap puri post ko uthakar tasvir mein Dal dete ho Thoda Thoda sa mavad uthakar jabardast ek VIP tasvir banaa do meherbani Hogi
