博鏈BroadChain獲悉,4月22日 19:30,DeFi領域再遭重創。流動性再質押項目Kelp DAO近日遭遇攻擊,損失高達2.92億美元。此次事件不僅掏空了項目自身金庫,更通過DeFi的可組合性引發連鎖反應,導致借貸協議Aave產生超過2億美元的壞帳。
安全分析顯示,攻擊者並非利用智能合約漏洞,而是通過污染底層RPC節點,向跨鏈協議LayerZero傳遞了偽造數據。然而,致命弱點在於項目核心環節採用了1/1的單簽權限機制,使得駭客在數據被污染後得以長驅直入,一次性轉移巨額資產。鏈上追蹤指向北韓駭客組織Lazarus Group,其高效的洗錢路徑凸顯了國家級攻擊者的威脅。
事件發生後,責任歸屬陷入爭議。Kelp DAO指責LayerZero的基礎設施存在漏洞,而後者則反駁稱問題在於項目方對RPC數據的盲目信任。Aave因接受Kelp DAO的資產作為抵押品而遭受池魚之殃,儘管計劃動用保護基金彌補損失,但這暴露了DeFi生態「一損俱損」的系統性風險。
此次攻擊引發了行業對DeFi風險與收益錯配的深刻反思。用戶為追逐個位數年化收益或積分,卻承擔著本金全額損失的風險。為爭奪總鎖倉量,許多協議採用低費率模式,其微薄收入難以支撐抵禦高級別攻擊所需的安全投入,形成了「收益私有化,風險社會化」的脆弱結構。
面對機構化資金加速入場的趨勢,行業開始重新審視合規託管的價值。將業務邏輯與資產保管分離,由專業託管機構負責金庫管理,能有效杜絕單點故障。獨立的意圖風控引擎可在鏈下對異常交易進行攔截與複核,提供代碼無法給予的信託級保護。這或許將成為DeFi協議吸引主流資本、實現長遠發展的必要基建。