博链 BroadChain 获悉,4月24日 15:06,2026年4月18日,一名攻击者在46分钟内从 KelpDAO 跨链桥盗取116,500枚 rsETH,价值约2.92亿美元,成为年度最大 DeFi 安全事件。被盗代币被存入 Aave V3 等协议作为抵押,借出约2.36亿美元 ETH,导致 Aave 产生1.77至2亿美元坏账,TVL 蒸发约60亿美元。本文从民事法律角度分析责任归属,认为 KelpDAO 和 LayerZero Labs 应承担共同过错责任,比例约为60%和40%。
KelpDAO 选择了 LayerZero 推荐的 DVN 配置中最低的1-of-1,即仅依赖一个验证器,而 LayerZero 明确建议至少2-of-3。这种单点故障保护了约16亿美元资产,相当于用挂锁保护金库。根据侵权法,预防成本(B)远低于损害概率(P)乘以损害规模(L),构成过失。行业同行如 SparkLend 和 Fluid 对 rsETH 的 LTV 分别设为72%和75%,远低于 Aave 的93%,显示对桥接风险的警惕。
LayerZero 运营的 DVN 基础设施被 RPC 投毒攻击,攻击者通过替换二进制文件、选择性欺骗和 DDoS 故障转移,伪造验证。RPC 投毒是已知攻击向量,LayerZero 作为基础设施运营者,应实施交叉验证、异常检测等对策。不可委托义务原则要求其不能因依赖 RPC 提供商而免责。Drift Protocol 攻击(2.85亿美元,4月1日)提供了建设性通知,进一步支持过失认定。
共同因果关系下,KelpDAO 的配置和 LayerZero 的失败均为必要条件。过错分配基于三点:KelpDAO 主动选择最低配置,LayerZero 未防御已知威胁,且攻击者行为不打断因果链。协议服务条款中的责任上限条款可能因违反公共政策而不可执行。