技术专家怎么看 Kelp DAO 被黑事件: DeFi 面对的不再是机会主义黑客

4 月 19 日凌晨，Kelp DAO 基于 LayerZero 的 rsETH 跨链桥被攻破，116,500 枚 rsETH 在没有任何对应销毁记录的情况下从主网 OFTAdapter 流出，按当时价格折算约 2.92 亿美元。一小时内，Kelp 紧急执行 pauseAll，但攻击者随后两度追加攻击，若非合约已暂停，总损失将逼近 3.91 亿美元。

事件发酵不到一天，Aave 冻结了 rsETH 和 wrsETH 市场，关键池子利用率触及 100%，用户连 ETH、WETH 乃至 USDT、USDC 都难以提取。至少 9 个协议相继触发紧急响应。

这已是 2026 年 DeFi 单次损失的最高记录，三周前，Drift Protocol 刚刚经历了 2.85 亿美元的攻击。两起事件放在一起，引发了行业内一个越来越难以回避的问题：DeFi 现有的安全管理框架，是否还足以应对今天的威胁？

攻击是怎么发生的

要理解这次事件，需要先理解 Kelp 的跨链架构。

Kelp 采用的是 LayerZero 的 OFT 标准部署。主网通过 OFTAdapter 合约持有 rsETH 的铸造和赎回权限，20 余条 L2 通过标准 OFT 合约承接映射。跨链不产生 wrapped 版本，走的是 1:1 的 debit-credit 清算机制——L2 销毁对应主网释放，主网锁定对应 L2 铸造。

这套机制的核心入口是 lzReceive，理论上只接受通过 LayerZero 验证的跨链消息。攻击者此次绕过了这一验证逻辑，伪造出一条并无对应源链销毁记录的消息，直接触发主网 Adapter 释放储备。没有源头 debit，却发生了目标端 credit。omnichain 供应量守恒，在这一刻被打破。

Cyvers CTO Meir Dolev 事后将这次攻击比喻为：「金库没有问题，守卫是诚实的，门锁运作正常。谎言是被直接耳语给那个唯一能开门的人的。」这个比喻准确描述了问题所在——不是系统设计有漏洞，而是验证链条上存在可以被攻破的单一信任节点。

专家怎么看：一个可预见的结构性失败

Kelp 选择了 LayerZero 允许的最弱安全配置：1/1 DVN，即跨链消息只需单个验证器签名即可通过。

密码学安全公司 Sodot 联合创始人 Shalev Keren 在接受采访时直接指出，这是「一个单点故障，不管营销话术怎么包装」。他进一步说，单个被攻破的验证节点就足以让资金离开桥，而这个架构缺陷，无法通过任何审计或安全审查来修复，唯一的解法是「从架构本身移除单边信任」。

更值得关注的是，这不是一个事后才能发现的盲点。早在 2025 年 1 月，已有开发团队在 Aave 治理论坛明确提醒 Kelp 应扩展至多 DVN 验证。15 个月过去，第二个验证器始终没有加上。

LayerZero 事后表示，已多次敦促 Kelp 升级至多验证器配置，并宣布将停止为仍在使用单验证器的应用批准消息。但这一声明本身也引发了追问：如果风险已知，协议层为何没有更早采取强制措施，而是将选择权完全留给应用层？

这场关于「协议责任」和「应用层责任」的争论，目前还没有答案。Grvt Blockchain Lead Haoze Qiu 在接受媒体采访时指出：「Kelp DAO 在这个体量的资产上接受了冗余度过低的桥接安全配置，这个设计选择制造了验证路径上的单点故障。与此同时，LayerZero 也有其问责责任，因为此次攻击涉及与其验证器栈相关的基础设施，即便这没有被定性为核心协议漏洞。在互联的 DeFi 里，用户不关心是哪一层出了问题，他们关心的是，系统是否足够健壮，在关键时刻保护了他们的资产。」

传染是怎么发生的

技术层面的失守，只是这次事件的上半段。真正的结构性风险，在攻击的后半段展开。

攻击者将盗取的 rsETH 存入 Aave V3、Aave V4、Compound V3、Euler 等借贷平台，以近乎无价值的抵押品借出真实资产，单在 Aave 一家便借出约 1.96 亿美元，总债务头寸超过 2.36 亿美元。这些抵押品在被存入的那一刻，背后的主网储备已经被清空，无法通过正常清算机制处置。

Aave 随后冻结相关市场，流动性骤然收紧，引发超过 100 亿美元的提款潮。Fluid 同步冻结 rsETH 市场，Upshift 暂停旗下两个 vault，Lido Earn 因 earnETH 对 rsETH 存在敞口而暂停存款，Ethena 出于谨慎暂停自身 LayerZero OFT 桥约六小时。

传染链条在数小时内蔓延至如此密集的节点，并不是某一家协议的风控失误。这是 LRT 作为抵押品被过度组合的直接结果——质押、再质押、跨链部署、借贷抵押，每增加一层，就多一个被默认成立的信任假设。当最底层的储备被清空，整条链路同时失衡。

值得一提的对比是，SparkLend 早在 2026 年 1 月便已将 rsETH 从抵押资产列表中下架。同样面对 LRT，不同协议做出了截然不同的风控判断。这种分化，本身就说明行业内对 LRT 类资产的系统性风险，并没有形成共识。

归因争议：我们知道的和不知道的

LayerZero 在事后分析中将此次攻击归因于朝鲜 Lazarus Group 旗下的 TraderTraitor 子单元，并指出此前 Axie Infinity Ronin Bridge 和 WazirX 的攻击均与该组织有关联。

但 Cyvers 在其独立分析中，明确没有跟进同样的归因结论。Dolev 表示，部分攻击模式在复杂性、规模和协调执行上与已知的 DPRK 相关行动存在相似性，但目前尚未确认任何与该组织相关联的钱包聚类。

攻击者使用的恶意节点软件在攻击结束后自动清除了二进制文件和日志，给事后取证带来了极大困难。

两家安全机构面对同一事件得出不同结论，本身就揭示了一个问题：DeFi 行业在攻击溯源和情报共享层面，缺乏系统性的协作机制。谁发动了攻击，固然重要，但攻击是如何被精心策划和执行的，以及行业如何共同提升对此类威胁的识别能力，是更值得投入的方向。

安全管理该如何演进

这次事件之后，行业内已经出现了几个层面的讨论，值得认真对待。

在协议设计层面，单验证器配置作为一种被默认允许的选项，其存在本身就是一个风险敞口。LayerZero 宣布停止为单验证器应用批准消息，是一个迟到但必要的收紧。更根本的问题是，协议层在允许应用层做出安全降级选择时，应该设置什么样的门槛和强制机制。

在抵押品风控层面，借贷协议对 LRT 类资产的白名单决策，需要有更严格的尽职调查标准。跨链桥的安全配置、底层资产的储备可审计性、极端情况下的清算可行性，这些维度过去更多依赖协议自述，而非独立核查。SparkLend 提前三个月下架 rsETH 这件事，说明审慎评估是可以做到的，只是需要愿意承担短期内放弃部分 TVL 的代价。对于将用户资金接入 DeFi 协议的平台而言，同样的逻辑也适用：持续监控、快速判断、在不确定性转化为损失之前主动调整敞口，是主动风控和被动接入之间最关键的差距。Grvt 在此次事件中即采取了这一做法，在检测到市场压力后迅速调整了相关 DeFi 敞口，以确保用户资金不受池子流动性危机波及。

在运营安全层面，Drift 的供应链渗透和 Kelp 的攻击前预谋，都说明高风险的攻击行动不只发生在链上。密钥管理、内部操作流程、第三方依赖的安全审查，需要被纳入协议安全体系的正式范围，而不是留在「工程最佳实践」的灰色地带。

在行业协作层面，两起攻击的归因至今存在分歧，说明链上情报的共享和标准化仍然滞后。安全公司、协议团队、基础设施层之间，需要更系统的信息共享机制，而不是在事后各自发布分析报告。