博链BroadChain获悉,4月22日 19:30,DeFi领域再遭重创。流动性再质押项目Kelp DAO近日遭遇攻击,损失高达2.92亿美元。此次事件不仅掏空了项目自身金库,更通过DeFi的可组合性引发连锁反应,导致借贷协议Aave产生超过2亿美元的坏账。
安全分析显示,攻击者并非利用智能合约漏洞,而是通过污染底层RPC节点,向跨链协议LayerZero传递了伪造数据。然而,致命弱点在于项目核心环节采用了1/1的单签权限机制,使得黑客在数据被污染后得以长驱直入,一次性转移巨额资产。链上追踪指向朝鲜黑客组织Lazarus Group,其高效的洗钱路径凸显了国家级攻击者的威胁。
事件发生后,责任归属陷入争议。Kelp DAO指责LayerZero的基础设施存在漏洞,而后者则反驳称问题在于项目方对RPC数据的盲目信任。Aave因接受Kelp DAO的资产作为抵押品而遭受池鱼之殃,尽管计划动用保护基金弥补损失,但这暴露了DeFi生态“一损俱损”的系统性风险。
此次攻击引发了行业对DeFi风险与收益错配的深刻反思。用户为追逐个位数年化收益或积分,却承担着本金全额损失的风险。为争夺总锁仓量,许多协议采用低费率模式,其微薄收入难以支撑抵御高级别攻击所需的安全投入,形成了“收益私有化,风险社会化”的脆弱结构。
面对机构化资金加速入场的趋势,行业开始重新审视合规托管的价值。将业务逻辑与资产保管分离,由专业托管机构负责金库管理,能有效杜绝单点故障。独立的意图风控引擎可在链下对异常交易进行拦截与复核,提供代码无法给予的信托级保护。这或许将成为DeFi协议吸引主流资本、实现长远发展的必要基建。