Kelp DAO遭黑客攻击：单验证者架构成致命漏洞

核心提要：Kelp DAO因采用单验证者跨链桥架构，遭遇价值2.92亿美元的rsETH代币被盗。攻击者通过毒化RPC节点并实施社会工程，成功篡改DNS设置。技术团队认定其为国家级黑客组织所为，目前正追踪资金流向。

单验证者架构暴露重大安全缺陷，黑客利用多层漏洞实施攻击

攻击者通过操控RPC节点，借助Kelp DAO采用的1/1单验证者跨链桥机制，成功伪造并批准虚假跨链交易。与此同时，以太坊域名服务网关eth.limo报告其域名被劫持，根源在于对服务商easyDNS发起的社会工程攻击，攻击者伪装成员身份获取账户权限并篡改名称服务器配置。

攻击行为归因于高度专业化威胁实体

技术分析团队初步判定，该事件系由具备国家背景的高级持续性威胁（APT）组织所为，极可能为朝鲜Lazarus集团下属的TraderTraitor小组。4月18日，该团伙利用LayerZero协议漏洞，导致约2.92亿美元的116,500枚rsETH代币被转移，成为本年度最大规模的DeFi安全事故。

核心漏洞源于单一验证节点依赖与防御机制缺失

调查显示，攻击者先获取去中心化验证者网络的公开节点列表，继而污染其中两个节点以传播虚假消息。同时，对其他未受控节点发动分布式拒绝服务攻击，迫使系统转向恶意节点。由于Kelp DAO跨链桥仅依赖单一验证者，缺乏冗余校验机制，虚假交易最终被系统接受。此前已有团队建议改用多元化验证者结构，但该建议未被采纳。

防御体系升级：停止支持1/1架构应用的消息签名

确认此次攻击仅影响采用1/1单验证者架构的项目，使用多验证者配置的系统仍保持安全。为防止类似事件重演，相关方决定终止对所有1/1 DVN结构应用的消息签署。当前正配合执法机构追踪被盗资产的流动路径。

社会工程攻破域名服务防线，引发大规模访问风险

以太坊域名服务网关eth.limo披露，其周五遭遇的域名劫持事件源于针对域名服务商easyDNS的社会工程攻击。攻击者冒充官方人员，通过账户恢复流程取得控制权，并将名称服务器指向其掌控的服务器。

应急响应启动及时，关键防护机制阻断恶意解析

在发现异常后，运营团队迅速展开应急处置，联系技术负责人并向用户发布警告，建议暂停通过受影响网关访问服务。该网关服务于约200万个使用.eth后缀的去中心化网站，若全面被控，可能导致用户被引导至钓鱼页面。

加密验证机制阻止大规模数据篡改，凸显安全协议价值

得益于域名系统安全扩展（DNSSEC）的数字签名机制，攻击者因无法获取有效密钥，无法生成合法的伪造响应，致使多数解析器拒绝接受篡改记录。服务商承认此为成立以来首次成功社会工程攻击，已启动全面安全加固计划。