跨鏈訊息協議 LayerZero 於台灣時間 4 月 20 日中午透過官方 X 長文發表正式聲明,針對 兩日前 Kelp DAO 2.92 億美元遭駭事件做出回應。根據 CoinDesk 報導,LayerZero 明確將事件原因歸於 Kelp DAO「自行選擇使用 1-of-1 DVN 單一驗證者配置」,並首次將攻擊者歸因於北韓 Lazarus 集團旗下的 TraderTraitor 分隊 — 同一批駭客先前也被認為是 4 月 1 日 Drift Protocol 2.85 億美元事件的執行者。
1-of-1 DVN 是什麼
LayerZero v2 採用 DVN(Decentralized Verifier Network)架構,專案部署時可自行選擇使用「多少個獨立驗證者節點」組成共識,範圍從 1-of-1(單一節點)到 M-of-N(需多數同意)皆可。DVN 的數量決定了容錯邊界:1-of-1 代表只要該一個節點被攻破,跨鏈訊息就可被偽造;M-of-N 則需要攻破超過半數節點才能偽造。
LayerZero 在聲明中指出:「KelpDAO 選擇使用 1-of-1 DVN 配置。妥善設置的多驗證者架構會要求多個獨立 DVN 之間達成共識,即使任何單一驗證者被入侵,攻擊仍然無效。」官方的整合檢查清單與對 Kelp 的直接溝通,都曾建議採用多驗證者冗餘設計。
攻擊手法:RPC 節點二進位被換掉、選擇性欺騙
LayerZero 揭露了攻擊的技術細節。攻擊者攻破了 LayerZero 驗證者用於讀寫鏈上資料的兩個 RPC(Remote Procedure Call)節點 — LayerZero 的驗證者會綜合使用內部與外部 RPC 節點以增加冗餘。駭客把這兩個節點上執行的原生二進位軟體換成經過修改的惡意版本。
惡意二進位的設計極其狡猾:只對 LayerZero 的驗證者謊報一筆「偽造的跨鏈交易已發生」訊息,但對所有其他查詢同一節點的系統(包括 LayerZero 自己的監控系統用不同 IP 查詢時)都繼續回報正確資料。這種「選擇性說謊」讓攻擊在 LayerZero 的監控層幾乎完全隱形。
Lazarus 18 天從 DeFi 拉走 5.75 億美元
LayerZero 將攻擊歸因於北韓 Lazarus Group 旗下的 TraderTraitor 分隊,標記為「初步高可信度歸因」。同一分隊此前被認為是 4 月 1 日 Drift Protocol 2.85 億美元事件的執行者 — 兩起事件相距 18 天,合計從 DeFi 市場拉走超過 5.75 億美元。
兩次攻擊的路徑結構完全不同:Drift 是透過社交工程攻擊治理簽署者(North Korea 偽裝身份誘使多簽持有人簽署惡意交易);Kelp 則是透過感染基礎設施層(RPC 節點)欺騙驗證協議。這代表 Lazarus 的 DeFi 攻擊能力已經跨越「智能合約漏洞」的傳統邊界,正在以「攻擊人、攻擊基礎設施」兩個平行方向擴張。
LayerZero 的三項政策宣示
LayerZero 在聲明中提出三項明確立場。第一,事件源於 Kelp 的配置選擇而非協議層級漏洞;第二,經全面檢查後已確認協議上所有其他應用沒有連帶風險(使用 OFT 標準+多驗證者的應用全部未受影響);第三,從即日起 LayerZero 將不再為任何使用 1-of-1 驗證者配置的應用簽署訊息,強制所有整合者升級至多驗證者架構。
這是 LayerZero 首次在協議層級設立「最低安全門檻」— 過去多驗證者僅是「建議」,現在變成強制要求。此舉既是對 Kelp 事件的責任切割,也是對整個 DeFi 生態的集體安全升級訊號。對於仍未切換至多驗證者配置的少數專案,可能在本週內面臨下架風險。
責任歸屬仍有爭議
LayerZero 把責任明確推向 Kelp 的配置選擇,但外部社群意見並非一致。部分 DeFi 觀察者指出:協議既然預設支援 1-of-1 這種極度脆弱的配置、又缺少強制性的最低 DVN 門檻,就不能把全部責任歸於用戶端。也有 本週稍早的 RAVE 事件中可見的類似模式 — 基礎設施提供者(交易所/協議)與應用層(發幣項目/專案)之間的責任邊界,在 2026 年的 DeFi 生態已成為結構性爭議。
對於受影響的 Kelp DAO 用戶與 Aave、SparkLend、Fluid 等借貸協議的清算風險,LayerZero 未提供補償方案;Kelp DAO 官方也尚未公佈賠付細節。接下來一週的觀察焦點將是:LayerZero 強制多驗證者政策的生效時程、仍在使用 1-of-1 的專案數量、以及 Kelp 是否能從內部儲備或 LayerZero 協助下部分補償用戶損失。
這篇文章 LayerZero 回應 Kelp DAO 2.92 億事件:指 Kelp 自選 1-of-1 DVN 配置,駭客為北韓 Lazarus 最早出現於 鏈新聞 ABMedia。
相關文章
