# DeFiSecurity

#KelpDAOBridgeHacked
KelpDAO 桥梁漏洞：技术解析与行业影响
2026年4月18日，KelpDAO 的 rsETH 跨链桥遭遇了 2026 年规模最大的 DeFi 漏洞，攻击者从中盗走了约 116,500 个 rsETH，价值大约 $292 百万。该事件约占 rsETH 总流通量的 18%，并已在 DeFi 生态系统中引发连锁反应。
攻击向量分析
此次漏洞通过针对 LayerZero 基础设施的复杂多阶段攻击实施。攻击者首先攻破了由 LayerZero Labs 运营的两个独立 RPC 节点，用恶意版本替换合法的 op-geth 二进制文件。这些“中毒”节点被特意配置为在维持对其他监控系统真实响应的同时，欺骗 LayerZero 的去中心化验证网络 (DVN)，从而有效规避检测。
攻击流程包括对第三个干净 RPC 节点发起协调的 DDoS 攻击，迫使 DVN 在故障切换到被入侵的基础设施。KelpDAO 的桥梁配置采用 1-of-1 的 DVN 设置，这意味着只需要 LayerZero Labs 的 DVN 即可验证跨链消息。被污染的节点成功确认了在 Unichain 上伪造的一笔销毁交易，EndpointV2 中继系统将其传播至 KelpDAO 的 OFT 适配器，从而触发主网储备的未经授权释放。
在被利用之后，攻击者通过多个钱包系统性地洗白被盗的 rsETH，将资金作为抵押存入以太坊与 Arbitrum 上的 Aave V3 市场。攻击者在以太坊上获得了约 75,700 WETH，在 Arbitrum 上获得了 30,800 WETH，使贷款价值比接近 99% 后，协议层面的冻结措施阻止了进一步借款。
归因与威胁行为者画像
安全研究人员和区块链分析公司将此次攻击归因于朝鲜的 Lazarus Group，具体为 TraderTraitor 集群。其作业特征与已记录的 Lazarus 方法一致：耐心的入侵策略、操纵受信基础设施，以及复杂的检测规避机制。该恶意软件在漏洞利用后自我销毁，系统性抹除来自被入侵系统的取证证据。
协议响应与遏制
Aave 在数小时内作出响应，在 V3 和 V4 部署（包括 SparkLend 集成）中冻结了 rsETH 市场。目前，该协议面临约 $177 百万的坏账，主要集中在 Arbitrum。Aave 生态系统中的总锁定价值（TVL）从 $26 十亿下滑至 $18 十亿，代表流动性提供者撤资导致了 8-14 十亿美元的资金外流。
此次“蔓延”也超出了 Aave 的范围，已有超过 15 个协议实施了紧急桥暂停。WETH 借贷池的利用率达到 100%，这为杠杆仓位带来了二次清算风险。KelpDAO 已将肇事者地址加入黑名单，并声称已阻止了额外的 $95 百万后续攻击尝试。
争议的根因分析
KelpDAO 与 LayerZero 之间存在关于基本责任的重大争议。LayerZero 表示，KelpDAO 的 1-of-1 DVN 配置偏离了推荐的安全实践，强调协议本身不存在漏洞，并称该事件仅限于 rsETH 基础设施。随后，LayerZero 已修补受影响的 DVN 与 RPC 系统。
KelpDAO 则反驳称，LayerZero 的默认文档与快速入门配置推荐使用 1-of-1 设置，并认为基础设施提供方应承担 RPC 节点安全责任。双方一致认为，没有利用任何智能合约漏洞；根因在于单点故障配置中的信任假设。
DeFi 安全影响
此次事件暴露了跨链桥架构中的关键脆弱性，尤其体现在 RPC 基础设施安全性方面。RPC 节点已成为系统性的薄弱环节，且大多数协议在没有足够的故障切换多样化的情况下，仍依赖一小部分提供商。该漏洞表明：即便是复杂的多签名与验证系统，也可能在底层数据源被投毒时遭到攻破。
行业分析师建议立即实施多 DVN 配置、对 RPC 提供商网络进行多样化，并建立实时配置审计系统。LayerZero 的模块化安全架构将影响范围限制在 rsETH，未波及任何其他 OFT 或 OApp 合约，这表明即便在针对基础设施的定向攻击期间，跨链消息传递框架也能保持韧性。
当前状态与恢复工作
Aave 治理目前正在就债务社会化机制进行讨论，以应对坏账局面。KelpDAO、LayerZero 与 Aave 已建立协调渠道，用于恢复相关行动。区块链安全协作组织 Seal-911 正在积极追踪资金流向，已识别出部分被盗资产流经 Tornado Cash 及其他混淆协议的路径。白帽谈判渠道仍保持开放，但在撰写本文时尚未确认任何追回进展。
此次漏洞为 2026 年的 DeFi 黑客事件创下新纪录，超过 4 月 1 日 Drift Protocol 事件中的 $285 百万。该事件再次强化了对“桥梁安全”作为 DeFi 主要攻击路径的持续担忧，跨链基础设施仍是生态系统中最具争议的安全前沿。
#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews

#KelpDAOBridgeHacked
KelpDAO 桥梁漏洞：技术解析与行业影响
2026年4月18日，KelpDAO 的 rsETH 跨链桥遭遇了 2026 年规模最大的 DeFi 漏洞，攻击者从中盗走了约 116,500 个 rsETH，价值大约 $292 百万。该事件约占 rsETH 总流通量的 18%，并已在 DeFi 生态系统中引发连锁反应。
攻击向量分析
此次漏洞通过针对 LayerZero 基础设施的复杂多阶段攻击实施。攻击者首先攻破了由 LayerZero Labs 运营的两个独立 RPC 节点，用恶意版本替换合法的 op-geth 二进制文件。这些“中毒”节点被特意配置为在维持对其他监控系统真实响应的同时，欺骗 LayerZero 的去中心化验证网络 (DVN)，从而有效规避检测。
攻击流程包括对第三个干净 RPC 节点发起协调的 DDoS 攻击，迫使 DVN 在故障切换到被入侵的基础设施。KelpDAO 的桥梁配置采用 1-of-1 的 DVN 设置，这意味着只需要 LayerZero Labs 的 DVN 即可验证跨链消息。被污染的节点成功确认了在 Unichain 上伪造的一笔销毁交易，EndpointV2 中继系统将其传播至 KelpDAO 的 OFT 适配器，从而触发主网储备的未经授权释放。
在被利用之后，攻击者通过多个钱包系统性地洗白被盗的 rsETH，将资金作为抵押存入以太坊与 Arbitrum 上的 Aave V3 市场。攻击者在以太坊上获得了约 75,700 WETH，在 Arbitrum 上获得了 30,800 WETH，使贷款价值比接近 99% 后，协议层面的冻结措施阻止了进一步借款。
归因与威胁行为者画像
安全研究人员和区块链分析公司将此次攻击归因于朝鲜的 Lazarus Group，具体为 TraderTraitor 集群。其作业特征与已记录的 Lazarus 方法一致：耐心的入侵策略、操纵受信基础设施，以及复杂的检测规避机制。该恶意软件在漏洞利用后自我销毁，系统性抹除来自被入侵系统的取证证据。
协议响应与遏制
Aave 在数小时内作出响应，在 V3 和 V4 部署（包括 SparkLend 集成）中冻结了 rsETH 市场。目前，该协议面临约 $177 百万的坏账，主要集中在 Arbitrum。Aave 生态系统中的总锁定价值（TVL）从 $26 十亿下滑至 $18 十亿，代表流动性提供者撤资导致了 8-14 十亿美元的资金外流。
此次“蔓延”也超出了 Aave 的范围，已有超过 15 个协议实施了紧急桥暂停。WETH 借贷池的利用率达到 100%，这为杠杆仓位带来了二次清算风险。KelpDAO 已将肇事者地址加入黑名单，并声称已阻止了额外的 $95 百万后续攻击尝试。
争议的根因分析
KelpDAO 与 LayerZero 之间存在关于基本责任的重大争议。LayerZero 表示，KelpDAO 的 1-of-1 DVN 配置偏离了推荐的安全实践，强调协议本身不存在漏洞，并称该事件仅限于 rsETH 基础设施。随后，LayerZero 已修补受影响的 DVN 与 RPC 系统。
KelpDAO 则反驳称，LayerZero 的默认文档与快速入门配置推荐使用 1-of-1 设置，并认为基础设施提供方应承担 RPC 节点安全责任。双方一致认为，没有利用任何智能合约漏洞；根因在于单点故障配置中的信任假设。
DeFi 安全影响
此次事件暴露了跨链桥架构中的关键脆弱性，尤其体现在 RPC 基础设施安全性方面。RPC 节点已成为系统性的薄弱环节，且大多数协议在没有足够的故障切换多样化的情况下，仍依赖一小部分提供商。该漏洞表明：即便是复杂的多签名与验证系统，也可能在底层数据源被投毒时遭到攻破。
行业分析师建议立即实施多 DVN 配置、对 RPC 提供商网络进行多样化，并建立实时配置审计系统。LayerZero 的模块化安全架构将影响范围限制在 rsETH，未波及任何其他 OFT 或 OApp 合约，这表明即便在针对基础设施的定向攻击期间，跨链消息传递框架也能保持韧性。
当前状态与恢复工作
Aave 治理目前正在就债务社会化机制进行讨论，以应对坏账局面。KelpDAO、LayerZero 与 Aave 已建立协调渠道，用于恢复相关行动。区块链安全协作组织 Seal-911 正在积极追踪资金流向，已识别出部分被盗资产流经 Tornado Cash 及其他混淆协议的路径。白帽谈判渠道仍保持开放，但在撰写本文时尚未确认任何追回进展。
此次漏洞为 2026 年的 DeFi 黑客事件创下新纪录，超过 4 月 1 日 Drift Protocol 事件中的 $285 百万。该事件再次强化了对“桥梁安全”作为 DeFi 主要攻击路径的持续担忧，跨链基础设施仍是生态系统中最具争议的安全前沿。
#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews

#CryptoMarketSeesVolatility Drift协议被攻：DeFi治理遭遇危机
加密市场在2026年4月受到严厉警示：DeFi风险已不再仅限于智能合约；治理现在成为主要漏洞。作为Solana最大衍生品平台之一的Drift协议遭遇严重漏洞，导致约2.8千万美元资金被盗。起初被认为是愚人节谣言，但很快被证实为一次复杂的管理接管事件，成为2026年迄今最大规模的加密黑客事件，也是Solana DeFi历史上最重大事件之一。
这并非简单的代码漏洞。攻击者利用Solana的持久性nonce交易和被攻破的签名批准，夺取了安全理事会的权限，绕过提款保护，削弱金库控制，并窃取了USDC、SOL、包裹BTC和抵押资产等主要资产。据报道，准备工作耗时数天至数周，彰显了此次攻击背后的战略深度和操作复杂性。
在被攻之前，Drift的总锁仓价值（TVL）接近$285 百万，显示出强大的流动性和市场信任。市场的即时反应非常剧烈：DRIFT代币崩盘，存取款暂停，流动性迅速撤出，锁仓总值大幅下降。
此事件强调了对所有DeFi参与者的一个关键教训：人层安全往往比代码本身更脆弱。即使是强大的多签设置也会在签名者被社会工程或程序疏忽攻破时失效。旨在增强可靠性的功能，如延迟交易，也可能被结合被攻破的管理权限用作武器。
对于DeFi用户而言，当前的重点应是避免新增存款，审查并撤销不必要的钱包授权，将资产存放在隔离的钱包中，并严格遵循官方协议更新。
对于更广泛的DeFi生态系统，Drift的崩溃引发了关于治理的紧迫问题：多签控制的安全性如何？延迟交易机制还能再次被滥用吗？管理权限和密钥管理应如何演变以防止类似攻击？此次黑客事件可能促使硬件强制密钥、更严格的签名者隔离、治理断路器和透明的管理监督的采用加快。
Drift协议如今已不只是一个新闻事件；它成为2026年的案例研究，凸显操作安全和治理如今与代码完整性同样重要。交易者、开发者和协议设计者必须认识到：对人类的信任已成为新的漏洞。未能适应的DeFi参与者将面临风险、资本和市场信心的丧失。
$550 #DriftProtocolHacked #DeFiSecurity #SolanaDeFi #CryptoTradingInsights