在 2026 年 4 月 18 日,KelpDAO 的流動再質押協議遭遇本年度最大的去中心化金融(DeFi)漏洞攻擊,攻擊者從其由 LayerZero 驅動的橋樑中偷取約 116,500 rsETH,價值約 2.92 億美元。LayerZero Labs 將此次攻擊歸咎於北韓的 Lazarus Group 子組織「TraderTraitor」,並指出 KelpDAO 的單一驗證者橋接配置是根本原因,使被妥協的 RPC 節點能偽造有效的跨鏈訊息。
攻擊者在執行前大約十小時,透過 Tornado Cash 為錢包預先資助,隨後利用驗證器設定觸發未經授權的資金釋放。LayerZero 的調查顯示,其去中心化驗證網路(DVN)中的三個節點中有兩個已被污染,導致切換到被妥協的節點。妥善加固的多驗證配置本應需跨越獨立 DVN 的共識,從而防止這次攻擊。LayerZero 後續表示不再簽署僅含單一 DVN 設置的訊息。
駭客事件發生後,被竊的 rsETH 被存入 Aave V3 作為抵押,造成在 rsETH-WETH 對中出現超過 2.36 億美元的壞債。Aave 的 Umbrella 儲備被啟動以彌補赤字,並對 SparkLend、Fluid、Lido Finance 與 Ethena 等放貸平台實施市場凍結。Aave 的 TVL 從 264 億美元降至約 200 億美元,下跌約 66 億美元,凸顯跨鏈互操作性漏洞的系統性影響。
Tron 創辦人孫宇晨因暴露於 Aave 的倉位,於緩解個人損失前提取約 65,584 ETH(約 1.54 億美元),隨後在 X 平台直接向駭客求和談判。孫宇晨警告若繼續不合作,可能使 KelpDAO 與 Aave 共同沉沒,呼籲歸還被盜資金以維護 DeFi 的穩定。
此事件重新點燃對嚴格的整合審核、實時監控與去中心化驗證框架,以保護跨鏈基礎設施的呼聲。隨著四月的總駭擊損失目前已超過 6.06 億美元,協議團隊與安全公司正加速實施防禦措施,以應對未來可能出現的更多高知名度的攻擊。
評論 (0)