2.9億美元Kelp DAO漏洞與Lazarus Group及脆弱的橋接安全性有關

關鍵要點

• Kelp DAO 在針對連接 LayerZero 驗證系統的 RPC 節點的複雜攻擊後,損失了約 2.9 億至 2.93 億美元
• Kelp DAO 據稱無視了 LayerZero 實施多個驗證器的安全建議,僅使用單一驗證器運行
• 初步證據指向北韓 Lazarus Group 為此次安全漏洞的幕後黑手
• 九個 DeFi 平台遭受連鎖損害,其中 Aave 最為顯著,Aave 的總鎖倉價值下降了 60 億美元
• 未來 LayerZero 已宣布將拒絕支援使用單一驗證器配置運行的應用程式

在 2026 年最重大的去中心化金融安全漏洞之一中,Kelp DAO 在週末遭受攻擊,總損失約為 2.9 億至 2.93 億美元。LayerZero 是此次事件中使用的跨鏈訊息協議,已將漏洞歸咎於 Kelp 的基礎設施決策。

此次漏洞集中在 Kelp 的 rsETH 代幣跨不同區塊鏈網路的轉移機制。使用單一驗證器架構意味著只需一個權威機構來驗證跨鏈轉移。根據 LayerZero 表示,該公司曾明確警告 Kelp 關於此配置,並敦促採用多個獨立驗證來源。

駭客滲透了兩個遠程過程調用節點——使軟體能夠與區塊鏈數據互動的專用伺服器。這些合法節點被替換為受損版本,向 LayerZero 的驗證系統傳遞虛假資訊,同時對其他基礎設施組件保持正常外觀。

由於 LayerZero 的驗證流程也會諮詢合法的外部節點,攻擊者發動了分散式阻斷服務攻擊來癱瘓這些系統。此策略在週六太平洋時間(UTC +8)上午 10:20 至 11:40 的 80 分鐘時段內,將網路流量重定向至受損的基礎設施。

當容錯機制啟動時,惡意節點向驗證器傳輸了一筆合法交易的確認。Kelp 的跨鏈橋協議隨後將 116,500 枚 rsETH 釋放到攻擊者的錢包。惡意軟體隨後自我刪除,抹除了受影響伺服器上的所有取證證據。

DeFi 生態系統的連鎖影響

被盜的 rsETH 代幣被部署為各個借貸平台的抵押品,使攻擊者能夠提取真實資產。Aave 作為主要的去中心化借貸平台,承受了最大的損害。

Aave 發現自己持有流動性不足的 rsETH 抵押品,而 ETH 等有價值資產已通過借貸機制被提取。Aave 的原生代幣在 24 小時內下跌了約 15%,而該協議經歷了約 60 億美元的提款,參與者爭相移除資金。

至少有九個 DeFi 應用程式遭受損害,包括 Fluid、Compound Finance、SparkLend 和 Euler。網路安全公司 Cyvers 將此事件描述為「跨協議感染事件」,遠遠超出單一平台的漏洞。

LayerZero 已初步確信將此次攻擊與北韓 Lazarus Group,特別是其 TraderTraitor 部門聯繫起來。同一組織涉及 4 月 1 日 2.85 億美元的 Drift Protocol 漏洞,顯示 Lazarus 在 18 天內使用兩種不同的攻擊方法從去中心化金融中提取了超過 5.75 億美元。

安全協議調整

LayerZero 報告沒有證據顯示漏洞擴散到使用多驗證器架構運行的應用程式。該公司已恢復其驗證服務,並宣布一項永久政策,拒絕為任何使用單一驗證器配置的應用程式處理訊息。

Curve Finance 創辦人 Michael Egorov 強調,此次漏洞顯示了依賴單一交易驗證來源的固有風險。他還警告不要使用跨鏈基礎設施,除非在營運上必要。

Kelp 對 LayerZero 的說法保持沉默,也未說明為何儘管收到明確的安全警告,該協議仍繼續使用單一驗證器架構運行。

文章《2.9 億美元 Kelp DAO 漏洞與 Lazarus Group 和薄弱跨鏈橋安全有關》首次發表於 Blockonomi。