博鏈 BroadChain 獲悉,4月24日 15:06,2026年4月18日,一名攻擊者在46分鐘內從KelpDAO跨鏈橋盜取116,500枚rsETH,價值約2.92億美元,成為年度最大DeFi安全事件。被盜代幣被存入Aave V3等協議作為抵押,借出約2.36億美元ETH,導致Aave產生1.77至2億美元壞帳,TVL蒸發約60億美元。本文從民事法律角度分析責任歸屬,認為KelpDAO和LayerZero Labs應承擔共同過錯責任,比例約為60%和40%。
KelpDAO選擇了LayerZero推薦的DVN配置中最低的1-of-1,即僅依賴一個驗證器,而LayerZero明確建議至少2-of-3。這種單點故障保護了約16億美元資產,相當於用掛鎖保護金庫。根據侵權法,預防成本(B)遠低於損害概率(P)乘以損害規模(L),構成過失。行業同行如SparkLend和Fluid對rsETH的LTV分別設為72%和75%,遠低於Aave的93%,顯示對橋接風險的警惕。
LayerZero運營的DVN基礎設施被RPC投毒攻擊,攻擊者通過替換二進位文件、選擇性欺騙和DDoS故障轉移,偽造驗證。RPC投毒是已知攻擊向量,LayerZero作為基礎設施運營者,應實施交叉驗證、異常檢測等對策。不可委託義務原則要求其不能因依賴RPC提供商而免責。Drift Protocol攻擊(2.85億美元,4月1日)提供了建設性通知,進一步支持過失認定。
共同因果關係下,KelpDAO的配置和LayerZero的失敗均為必要條件。過錯分配基於三點:KelpDAO主動選擇最低配置,LayerZero未防禦已知威脅,且攻擊者行為不打斷因果鏈。協議服務條款中的責任上限條款可能因違反公共政策而不可執行。