在2026年4月18日,KelpDAO 的流動再抵押協議在年度最大的 DeFi 漏洞事件中遭受攻擊,攻擊者自其由 LayerZero 驅動的橋樑中提取了約 116,500 rsETH,價值約 2.92 億美元。LayerZero Labs 指出此次攻擊出自北韓 Lazarus Group 子組織「TraderTraitor」,並指認 KelpDAO 的單一驗證器橋樑配置為根本原因,使被入侵的 RPC 節點能偽造有效的跨鏈訊息。
攻擊者在執行前大約十小時,透過 Tornado Cash 預先為錢包注資,隨即利用驗證器設定觸發未經授權的資金釋出。LayerZero 的調查顯示,其去中心化驗證網路(DVN)三個節點中有兩個被污染,導致切換至被妥協的節點。完善加固的多驗證器配置本應需要獨立 DVN 間的共識,從而防止此類攻擊。LayerZero 自此拒絕在未來對 1 對 1 的 DVN 設置簽名。
駭客事件發生後,被盜的 rsETH 被作為 Aave V3 的抵押品存入,於 rsETH-WETH 對中累積了超過 2.36 億美元的壞賬。Aave 的 Umbrella 儲備基金被啟動以彌補赤字,並對 SparkLend、Fluid、Lido Finance 與 Ethena 等借貸平台實施市場凍結。Aave 的 TVL 下跌約 66 億美元,從 264 億美元降至近 200 億美元,凸顯互操作性漏洞的系統性影響。
Tron 創辦人 Justin Sun,持有在 Aave 的頭寸,為降低個人損失提款約 65,584 ETH(約 1.54 億美元),隨後上傳至 X 平台直接向駭客求取談判。Sun 警告,如繼續不合作可能使 KelpDAO 與 Aave 一同陷入困境,呼籲歸還被盜資金以維護 DeFi 的穩定。業界領袖強調採取更嚴格的橋樑安全標準,並採用冗餘配置以防範國家級威脅行為者。
此事件重新點燃了對嚴格整合審計、實時監控,以及去中心化驗證框架以確保跨鏈基礎設施的呼聲。至今四月的總駭客損失已超過 6.06 億美元,協議團隊與安全公司正全力加速實施防禦措施,以防範未來更多高知名度的攻擊事件。
評論 (0)