博链BroadChain获悉,4月23日 12:16,4月19日凌晨,Kelp DAO基于LayerZero的rsETH跨链桥遭遇攻击,约116,500枚rsETH在无对应销毁记录的情况下从主网流出,损失约2.92亿美元。攻击发生后一小时内,Kelp紧急暂停合约,但攻击者后续两次尝试追加攻击,若非合约已暂停,潜在总损失可能高达3.91亿美元。
这已是2026年DeFi领域单次损失的最高记录。攻击的核心在于验证机制的单点故障。Kelp采用了LayerZero允许的最弱安全配置——1/1 DVN,即仅需单个验证器签名即可通过跨链消息。安全专家指出,这本质上是一个无法通过审计修复的架构缺陷。
早在2025年1月,已有开发者在Aave治理论坛提醒Kelp应扩展至多验证器配置,但该建议在15个月内未被采纳。LayerZero事后宣布将停止为仍使用单验证器的应用批准消息。技术失守迅速引发了系统性传染。
攻击者将盗取的rsETH存入Aave、Compound等多个借贷平台,借出超过2.36亿美元的真实资产。Aave随即冻结相关市场,导致流动性骤然收紧,波及超过100亿美元的提款潮。Fluid、Upshift、Lido Earn等至少9个协议相继触发紧急响应。
这暴露了LRT(流动性再质押代币)作为抵押品在多层组合后,底层储备清空导致整条信任链同时失衡的风险。此次攻击的归因存在争议。LayerZero将其归因于朝鲜黑客组织Lazarus Group,但安全公司Cyvers表示尚未确认相关钱包聚类。
攻击者使用的恶意节点软件在事后自动清除了痕迹,增加了取证难度。这反映出DeFi行业在攻击溯源和情报共享方面缺乏系统性协作。接连发生的巨额攻击事件表明,DeFi现有的安全管理框架正面临严峻挑战。
安全演进需要协议设计者、基础设施层、借贷平台等多方共同参与,重新校准风险假设,并建立更系统的信息共享与强制风控机制。