KelpDAO攻击事件规模与初步影响

LayerZero确认,2026年4月18日,KelpDAO协议因rsETH配置漏洞被利用,造成约2.9亿美元资金损失。该问题仅限于特定跨链资产,未波及其他连接LayerZero的项目。尽管早期报告提及2.93亿美元,但官方口径为约2.9亿美元,具体金额仍待最终核实。

攻击机制解析:链下数据注入而非合约漏洞

此次攻击并非智能合约缺陷所致。根据Chainalysis分析,攻击者入侵了内部RPC节点,并对公开外部节点发起分布式拒绝服务攻击,从而向LayerZero使用的单路DVN验证路径灌入虚假数据。 一条伪造自Unichain的入站数据包,在未执行源链销毁操作的前提下,于以太坊侧适配器中释放出116,500枚rsETH。此欺诈性消息耗尽了适配器中的储备资金。 Aave报告显示,漏洞发生后适配器内剩余仅40,373枚rsETH,而远程链上未偿索取权达152,577枚,二者差额构成核心损失来源。

潜在归因与执法介入

Chainalysis初步判断攻击可能与朝鲜关联的Lazarus组织有关,但尚未形成定论。执法部门已启动调查,Arbitrum安全委员会冻结部分下游资金,并与调查机构保持协调。

Aave面临重大坏账压力

Aave治理论坛发布两种损失分摊情景:若均匀分摊,预计坏账约1.237亿美元;若由L2 rsETH持有者单独承担,则可能高达2.301亿美元。这一数字揭示了跨链借贷中因单一桥接失效引发系统性风险的可能性。

Lombard Finance大规模资产迁移

Lombard Finance宣布将超过10亿美元的比特币支持资产从LayerZero迁移至Chainlink CCIP。此举被视为对LayerZero桥接安全性的直接否定,其强调自身“零安全事故、100%运行时间”的安全记录。 该动作标志着比特币DeFi生态中关键资产向另一竞争性基础设施转移,加剧市场波动。当前比特币交易价格为78,093美元,市场恐惧与贪婪指数为31,处于“恐惧”区间。

事件深层启示:架构脆弱性暴露

本次事件暴露了依赖单点验证路径的跨链架构致命弱点——一旦链下数据源被攻破,即可授权大额资金提取,无需突破智能合约逻辑。 从无储备的资产索取权,到协议层面的坏账风险,再到大型机构资产的大规模迁移,一系列连锁反应表明,跨链基础设施的稳定性正深刻影响整个加密生态的可信度。 KelpDAO尚未发布正式事件分析报告或财务影响声明,用户损失范围及恢复可能性仍不明确。