BroadChain获悉,2026年4月18日 15:06,一名攻击者在46分钟内从KelpDAO跨链桥盗取116,500枚rsETH,价值约2.92亿美元,成为年度最大DeFi安全事件。被盗代币被存入Aave V3等协议作为抵押,借出约2.36亿美元ETH,导致Aave产生1.77至2亿美元坏账,TVL蒸发约60亿美元。本文从民事法律角度分析责任归属,认为KelpDAO和LayerZero Labs应承担共同过错责任,比例约为60%和40%。
KelpDAO选择了LayerZero推荐的DVN配置中最低的1-of-1,即仅依赖一个验证器,而LayerZero明确建议至少2-of-3。这种单点故障保护了约16亿美元资产,相当于用挂锁保护金库。根据侵权法,预防成本(B)远低于损害概率(P)乘以损害规模(L),构成过失。行业同行如SparkLend和Fluid对rsETH的LTV分别设为72%和75%,远低于Aave的93%,显示对桥接风险的警惕。
LayerZero运营的DVN基础设施被RPC投毒攻击,攻击者通过替换二进制文件、选择性欺骗和DDoS故障转移,伪造验证。RPC投毒是已知攻击向量,LayerZero作为基础设施运营者,应实施交叉验证、异常检测等对策。不可委托义务原则要求其不能因依赖RPC提供商而免责。Drift Protocol攻击(2.85亿美元,4月1日)提供了建设性通知,进一步支持过失认定。
共同因果关系下,KelpDAO的配置和LayerZero的失败均为必要条件。过错分配基于三点:KelpDAO主动选择最低配置,LayerZero未防御已知威胁,且攻击者行为不打断因果链。协议服务条款中的责任上限条款可能因违反公共政策而不可执行。