本周末,去中心化金融生态迎来一场重大网络安全危机。跨链资产转移协议Kelp DAO被发现存在严重漏洞,导致116,500枚rsETH代币被非法提取,总损失金额高达2.92亿美元。该事件成为今年迄今最严重的DeFi安全事故,其影响已波及多个主流协议,暴露出底层基础设施配置中的深层隐患。
事件发生在4月18日,核心问题源于LayerZero去中心化验证网络(DVN)中两个关键RPC节点的权限被劫持。攻击者通过实施拒绝服务攻击并篡改节点响应,伪造出合法的跨链消息,诱导系统误判为有效指令。这一技术手段直接绕过了多签验证机制,使未经授权的资产转移得以完成。调查表明,该漏洞与Kelp DAO采用单一验证器架构密切相关,而非更安全的分布式模式。
LayerZero官方声明指出:“尽管已多次向Kelp DAO团队提供多元化配置的最佳实践建议,但其始终维持1/1的验证结构运行。”这反映出在安全性与便利性之间的权衡失当。
针对此次事故,双方立场出现明显分歧。LayerZero强调,单验证器方案本质上构成系统性弱点,缺乏冗余设计,极易被集中攻击。而Kelp DAO则回应称,该配置在官方文档中被列为默认选项,且此前已通过双方沟通获得认可,因此不构成违规操作。
团队补充说明,自今年初以来一直基于LayerZero框架稳定运行,双方保持定期协作。目前,项目方已启动全面审计流程,将攻击者地址列入黑名单,并冻结相关智能合约调用权限。这些应急响应措施被视为遏制损失扩大的关键步骤。
随着被盗资产流入Aave V3协议,事件影响迅速蔓延。攻击者以约89,567枚rsETH(估值约2.21亿美元)作为抵押品,成功借出82,650枚WETH和821枚wstETH,形成潜在高风险敞口。
据分析,若损失由全网分摊,rsETH供应价值可能缩水15.12%,在Aave上引发约1.237亿美元坏账,其中以太坊主网将承担最大冲击,达9,180万美元;若仅二层网络受损,则其资产价值或折损高达73.54%,产生2.301亿美元坏账。当前Aave的5400万美元“WETH保护伞”保险基金仅覆盖第一种情景。
管理方表示,最终风险敞口将取决于Kelp DAO清算流程推进情况以及预言机价格更新机制的有效性。目前协议持有1.81亿美元资产,并已获得社区额外资金支持承诺,以应对潜在流动性缺口。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.