博鏈 BroadChain 獲悉,4月24日 04:16,Kelp DAO 基於 LayerZero 的 rsETH 跨鏈橋於 4月19日凌晨遭攻破,116,500 枚 rsETH(約 2.92 億美元)在無對應銷毀記錄下從主網流出。攻擊者繞過 lzReceive 驗證邏輯,偽造跨鏈消息直接觸發儲備釋放。一小時內 Kelp 暫停合約,但後續追加攻擊若成功,總損失將達 3.91 億美元。
此次攻擊根源在於 Kelp 採用 LayerZero 最弱安全配置——1/1 DVN,即單驗證器簽名即可通過。密碼學安全公司 Sodot 聯合創始人 Shalev Keren 指出,這是「單點故障」,無法通過審計修復。早在 2025年1月,已有團隊在 Aave 治理論壇提醒擴展至多 DVN 驗證,但 15 個月後仍未執行。LayerZero 事後稱多次敦促升級,並宣佈停止為單驗證器應用批准消息。
攻擊者將盜取的 rsETH 存入 Aave、Compound 等借貸平台,借出超 2.36 億美元真實資產。Aave 凍結市場後引發超 100 億美元提款潮,Fluid、Upshift、Lido Earn 等至少 9 個協議觸發緊急響應。SparkLend 早在 2026年1月便下架 rsETH,凸顯行業對 LRT 類資產風險認知的分化。
LayerZero 將攻擊歸因於朝鮮 Lazarus Group,但 Cyvers 未跟進此結論,因惡意節點軟件自動清除痕跡導致取證困難。兩起事件(三週前 Drift Protocol 損失 2.85 億美元)表明,DeFi 現有安全框架已無法應對當前威脅。行業需在協議設計、抵押品風控、運營安全及情報共享層面系統升級。