#KelpDAOBridgeHacked

去中心化金融生態系統遭遇了迄今為止最嚴重的安全漏洞之一，Kelp DAO 遭受大規模攻擊，造成約 $292 百萬的損失。此次攻擊於4月18日展開，針對 Kelp DAO 的由 LayerZero 支持的跨鏈橋，導致 116,500 個 rsETH 代幣被盜，震動多個 DeFi 協議。

使此事件尤為令人擔憂的不僅是損失的規模，還有它在更廣泛的生態系統中引發的連鎖反應，包括借貸巨頭 Aave，以及基礎設施提供商之間日益激烈的責任爭議。

攻擊的經過
調查人員報告稱，攻擊者在發動攻擊前約10小時，使用 Tornado Cash 為其錢包籌資，這是一種常用來模糊交易來源的方法。早期分析，包括區塊鏈調查員 ZachXBT 分享的見解，暗示可能涉及與北韓有關的 Lazarus 集團，該黑客集團以高級的 DeFi 攻略聞名。

技術層面來看，攻擊的根源似乎是 LayerZero 的去中心化驗證網絡 (DVN) 中使用的 RPC 節點被攻破。據稱，攻擊者在同時對兩個驗證節點進行毒化的同時，對其他節點發起了 DDoS 攻擊。這種干擾使得一條偽造的跨鏈訊息得以被驗證。

結果，Kelp DAO 的橋接合約被騙出 116,500 個 rsETH，雖然這些資產從未被合法解鎖，卻被誤導釋放到以太坊主網。

擴大的衝突：誰應負責？
在攻擊事件發生後，Kelp DAO 與 LayerZero 之間爆發了激烈的責任推諉。

LayerZero 主張，Kelp DAO 使用了“1對1的 DVN 配置”，造成了單點故障。根據 LayerZero 的說法，行業最佳實踐建議使用多個獨立驗證者以防止此類攻擊。他們聲稱 Kelp DAO 忽視了多元化的指導方針。

然而，Kelp DAO 強烈否認此說法。團隊堅稱，1對1的設置是 LayerZero 文件中早期 OFT 部署的預設配置。他們還認為，LayerZero 的代表此前已批准該架構，責任不能追溯推給他人。

傳染擴散至 Aave
後果迅速擴散到 Kelp DAO 之外。攻擊者將 89,567 個 rsETH 存入 Aave 作為抵押品，並借出約 $190 百萬的 WETH 和 wstETH，使 Aave 面臨重大壞帳風險。

Aave Labs 預估潛在損失在 $124 百萬到 $230 百萬之間，取決於損失是否在持有人之間分攤或局限於特定網絡。

作為回應，Aave 立即凍結了多個版本的 rsETH 市場，將抵押品參數降至零，並啟動了緊急風險控制措施。協議的治理代幣 AAVE 下跌了10%，而超過 $10 億美元的 TVL 在恐慌性提款中退出平台。

緊急治理措施
在 Arbitrum 上，驗證者迅速行動，凍結了約 7110 萬美元的 ETH，這些資金已轉移到安全錢包，等待治理決策，並可能對用戶進行補償。

當局和安全研究人員也據報正追蹤攻擊者的身份及資金流向。

接下來會怎樣？
Kelp DAO 已暫停多條鏈上的所有 rsETH 合約，但核心問題仍未解決：該協議可能缺乏足夠的金庫儲備來彌補 $292 百萬的損失。
可能的救援方案包括 LayerZero 出面保護其生態系統聲譽、Aave DAO 使用金庫資金來彌補壞帳，或在 rsETH 持有人之間進行更廣泛的社會化損失分擔。但目前尚未確認任何方案。

目前，這起事件成為2026年最具破壞性的 DeFi 攻略之一，暴露了跨鏈基礎設施的關鍵弱點，也重新點燃了關於去中心化與安全之間的辯論。