KelpDAO近期遭受重大网络安全事件,其跨链rsETH协议基础设施被利用,造成约2.93亿美元资金损失,成为2026年最严重的去中心化金融攻击之一。此次事件不仅冲击了借贷市场信心,更促使至少一家主流比特币DeFi发行方全面终止与现有桥接服务的合作。
LayerZero官方确认,2026年4月18日发生的攻击事件中,约2.9亿美元资金被非法提取,且影响仅限于KelpDAO的rsETH配置模块,未波及其他通过LayerZero连接的资产系统。
不同信源对实际损失金额存在差异,初期报告指出为2.93亿美元,而主要官方声明则修正为约2.9亿美元。截至目前,KelpDAO尚未发布完整的事件分析报告,包括责任认定、技术复盘及后续应对措施在内的多项核心信息仍处于待披露状态。
本次攻击并非基于智能合约逻辑缺陷,而是通过入侵内部RPC节点并实施分布式拒绝服务攻击,向LayerZero所依赖的单路DVN验证通道注入伪造数据。
一条伪造自Unichain并发送至以太坊的入站消息,在未执行对应源链销毁的前提下,从以太坊适配器中释放出116,500枚rsETH。该欺诈性指令直接耗尽了适配器内的大部分储备金。
Aave提供的数据显示,攻击后适配器内仅剩40,373枚rsETH,而远程链上登记的索取权高达152,577枚,二者之间的巨大缺口构成了下游协议潜在损失的核心来源。
尽管目前尚无定论,但Chainalysis初步将此次攻击归因于朝鲜支持的Lazarus黑客组织。相关执法机构已介入调查,Arbitrum安全委员会亦冻结部分关联资金,并与调查团队保持协同。
Aave治理论坛发布了两种基于此次事件的坏账情景模拟。在平均分摊模式下,预计协议将承担约1.237亿美元损失;若由L2侧rsETH持有者单独承担,则坏账规模将攀升至2.301亿美元。
这一案例揭示了跨链借贷生态中集中性风险的极端脆弱性。类似担忧已在其他市场领域浮现,尽管具体传导路径各异,但均指向基础设施信任体系的深层挑战。
市场最显著的反应来自Lombard Finance,该公司宣布将其超过10亿美元的比特币支持型资产从LayerZero迁移至Chainlink的CCIP网络。此举被视为对LayerZero桥接安全性的直接否定投票。
公司强调,此决定优先保障所有用户资产安全,并重申其自成立以来维持的“零安全事故、100%运行时间”的安全记录承诺。
此次迁移意义重大,因其涉及比特币DeFi生态中相当比例的桥接资产转移,加剧了整个加密市场的波动压力。当前比特币价格报78,093美元,市场恐惧与贪婪指数降至31,明确进入“恐惧”区间。
KelpDAO事件暴露出一个关键架构缺陷——单一验证路径一旦被链下数据源攻破,即可授权高达数亿美元的资金提取。此次攻击无需破解智能合约,仅需控制为其提供数据的外部基础设施。
从缺乏充足储备的rsETH索取权,到Aave的巨额坏账预估,再到Lombard数十亿美元资产的大规模转移,整条链条清晰呈现:单一桥接系统的失效如何在多个独立协议间引发不可控的连锁反应。
KelpDAO仍未公布正式的事件分析或财务影响评估。在官方报告发布前,用户损失范围及任何潜在恢复机制仍不明确,市场仍在等待进一步信息披露。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.