事件始末:46分钟内的惊魂一刻
从攻击发动到多签钱包暂停合约,攻击者在极短时间内完成了价值近3亿美元的资金转移。
2026年4月18日UTC时间17:35左右,Kelp DAO的rsETH代币跨链活动出现异常。区块链安全公司Cyvers第一时间监测到这笔大规模转账——黑客通过Kelp DAO在LayerZero跨链桥上的配置漏洞,在以太坊主网铸造了约11.65万枚无真实抵押背书的rsETH代币,随即展开连环攻击。
攻击链条的展开速度令人震惊。约46分钟后,Kelp DAO多签钱包检测到可疑活动,紧急暂停了主网及多个Layer-2链上的rsETH相关合约功能。但这个响应速度在黑客面前显得苍白——截至暂停时刻,约2.5亿美元的赃款已被迅速兑换为以太坊(ETH),资金流向经过Tornado Cash等隐私工具多重混淆,追回难度极大。
跨协议传染:DeFi可组合性的一体两面
DeFi的“可组合性”在带来效率的同时,也让风险得以光速传播。
更令人警惕的是损失的扩散路径。黑客获得的这批无真实backing的rsETH并非孤立地躺在攻击者钱包里,而是被迅速存入Aave V3、Compound、Euler等9家主流借贷协议,作为超额抵押品借出约2.36亿美元的真实WETH/ETH。典型的“闪电贷式”攻击变体,但规模更大、涉及协议更多。
这种跨协议传染的破坏力在事件后续发展中体现得淋漓尽致。Aave在官方声明中紧急冻结V3和V4平台上的所有rsETH市场;Compound、Euler等协议也陆续跟进暂停或限制相关资产操作。单日DeFi总锁仓量(TVL)蒸发近100亿美元,Aave等协议ETH池资金流出量超过66亿美元。
技术根因:1/1 DVN配置背后的致命陷阱
LayerZero的OApp配置问题,本质上是“速度与安全”之间失衡的产物。
根据X平台安全研究员的分析,本次攻击的核心漏洞在于Kelp DAO对LayerZero OApp(Omnichain Application)的配置问题:采用了1/1 DVN模式(仅依赖单一去中心化验证节点),黑客得以伪造跨链验证消息。
LayerZero的跨链消息传递机制依赖于“预言机+中继器”的双重验证模型。在正常情况下,攻击者即使伪造了源链消息,也无法同时控制预言机和中继器来通过目标链验证。但1/1 DVN配置意味着只设置了一个验证节点,当这个单一节点被攻破或配置存在缺陷时,整个验证机制就会失效。
黑客通过精心构造的payload,在目标链上触发了无真实跨链资产对应的rsETH铸造。这种机制本质上让攻击者“凭空”获得了价值近3亿美元的合成资产——rsETH的价值支撑来自跨链backing,而backing本身就是被伪造的。
跨链桥的结构性脆弱点
2022年的Nomad桥事件已经敲响警钟,但行业似乎并未真正吸取教训。
安全研究员在分析中指出,这与2022年Nomad桥事件高度相似。Nomad当年损失1.9亿美元,根因同样是跨链消息验证机制存在缺陷。如今同样的问题再次出现在Kelp DAO身上,暴露出“跨链桥+LRT(Liquid Restaking Token)”组合的系统性风险。
rsETH作为再质押衍生品,其价值依赖底层ETH staking收益,但跨链铸造环节缺乏足够的去中心化验证和实时背书检查。这种设计在追求效率的同时,将安全性置于次要地位——当攻击者发现这个薄弱环节时,高收益自然会引来攻击。
市场冲击:代币暴跌与流动性危机
AAVE代币单日暴跌17%-19%,LayerZero原生代币ZRO同步下跌约20%。
事件对市场的冲击立竿见影。Kelp DAO的原生代币和rsETH出现严重脱锚,价格一度较ETH折价明显。Aave作为事件中受影响最大的协议之一,其代币价格单日跌幅达到17%-19%,引发大量多空清算。LayerZero原生代币ZRO同样未能幸免,跌幅约20%。
更深层的冲击在于流动性的快速收缩。Aave等协议ETH池利用率瞬间飙升至接近100%,资金大规模撤离。链上数据显示,仅Aave一家协议就出现单日净撤出66亿美元,其中稳定币33亿美元。这种流动性危机如果蔓延开来,可能引发更广泛的连锁反应。
值得注意的是,Justin Sun等大户从Aave中大规模撤出资金的行为,进一步加剧了市场恐慌。虽然这种撤资行为在技术上是理性的风险管理策略,但在市场情绪脆弱的时刻,任何大额资金流动都会被放大解读。
历史对比:2026年DeFi安全态势堪忧
20天内发生两起亿美元级安全事件,行业需要系统性反思。
Kelp DAO事件并非孤例。就在18天前,Drift Protocol刚刚遭遇了约2.85亿美元的黑客攻击。调查发现,攻击者花费了数月时间渗透系统,最终部署恶意软件得手。加上Kelp DAO的2.93亿美元,2026年第一季度因黑客攻击和诈骗造成的损失已累计约4.82亿美元——Kelp一案就占了超过60%。
对比历史数据,这个趋势更加令人担忧。2022年是DeFi黑客攻击的“巅峰之年”,Ronin桥被盗6.2亿美元、Nomad桥损失1.9亿美元。但2026年仅过去四个多月,就已连续出现两起接近3亿美元规模的单一事件,表明攻击者的技术能力和组织程度可能已显著提升。
防护建议:DeFi协议安全的最佳实践
速度不能凌驾于安全之上——这句话值得每个跨链项目反复掂量。
基于此次事件的分析,笔者认为DeFi协议安全需要从多个维度进行系统性加固:
跨链配置层面
首要建议是立即升级为多验证节点配置。任何使用LayerZero跨链桥的项目,都应该将1/1 DVN升级为至少2/3或更高阈值的多签验证机制。单一验证节点的配置在安全上是不可接受的——它本质上将整个跨链安全性寄托在一个潜在的故障点上。
其次,需要增加实时backing验证机制。跨链资产的铸造应该实时校验源链资产的锁定情况,而非仅依赖定期对账。对于再质押类资产,还应该验证其底层ETH质押状态的有效性。
协议层面
借贷协议应该建立更严格的白名单机制和风险敞口限制。对于新上线的跨链资产或新兴DeFi协议,应该设置更保守的抵押率和清算阈值。在跨协议传染风险加剧的背景下,“孤立地评估单一资产安全性”的传统方法需要被“系统性评估组合风险”所替代。
监控响应层面
Kelp DAO多签钱包在46分钟内完成暂停操作,说明快速响应机制确实有效。但46分钟对于高速攻击而言已经足够造成巨额损失。更有效的方案是部署实时异常检测系统,在可疑活动出现时自动触发熔断机制。
法律视角:DeFi安全事件的法律责任困境
DeFi协议“代码即法律”的特性,决定了这类风险缺乏传统的法律救济路径。
从法律角度分析,Kelp DAO攻击事件涉及多重法律关系。盗窃罪层面,未经授权的链上转账在多数司法管辖区可构成刑事犯罪,但区块链的匿名性和跨境特性使执法面临巨大挑战。智能合约侵权层面,受害者可能寻求民事救济,但举证责任和损害赔偿的认定存在不确定性。
更值得关注的是项目方的注意义务问题。如果能够证明Kelp DAO在跨链配置上存在疏忽,或者在发现异常后响应迟缓,可能触发未尽合理安全注意义务的民事责任。但DeFi协议“代码即法律”的去中心化特性,使传统的法律责任框架难以直接适用。
从监管角度,香港证监会目前对DeFi协议暂无直接监管,但若项目方在港进行任何推广或服务,仍可能触发证券及期货条例下的相关责任。这一案例提示了虚拟资产安全审计的必要性。
结语:在高收益与高风险之间寻找平衡
Kelp DAO事件再次提醒:在追逐高收益的加密深海中,安全才是那艘最不能破的船。
跨链桥作为DeFi基础设施的核心组件,其安全性直接关系到整个生态系统的稳定。但现实中,跨链项目往往面临“安全性”与“用户体验”的两难抉择——过于复杂的验证机制会拖慢交易速度,增加用户摩擦;而追求速度的简洁设计则可能留下安全隐患。
Kelp DAO事件不会是DeFi领域的最后一次重大安全危机。量子计算的威胁虽然尚未构成即时危机,但技术演进的步伐从未停止。对于从业者而言,如何在高收益与高风险之间找到平衡点,将是持续面临的战略课题。对于用户而言,分散风险、选择经过充分审计的协议、避免过度集中持仓,是保护自身资产的基本原则。
DeFi的世界依然充满机遇,但参与者必须时刻记住:在这个没有监管护城河的去中心化世界里,安全永远应该排在第一位。
作者:Web3安全研究分析师
来源:区块链Web3技术资讯门户
发布日期:2026-04-21
发表回复