核心要點:
- 攻擊者利用 KelpDAO 上單一驗證器的 LayerZero 跨鏈橋,鑄造了 2.92 億美元無抵押的 rsETH 代幣。
- 以 Aave 和 Mantle 為首的「DeFi 聯盟」(DeFi United)已啟動救助行動。
- Ripple 首席技術官對 LayerZero 的官方解釋提出質疑,指出其系統安全配置的過往陳述存在矛盾。
返回
返回
KelpDAO 遭攻擊損失 2.92 億美元,暴露 LayerZero 跨鏈橋風險
4 月 18 日,由於基於 LayerZero 構建的 KelpDAO 跨鏈橋基礎設施存在關鍵漏洞,導致了一場涉及 2.92 億美元的攻擊。該漏洞製造了無抵押的 rsETH 代幣,並在 Aave 借貸協議上引發了流動性危機。
Altura DeFi 首席運營官 Matthew Pinnock 在接受 Decrypt 採訪時表示,這次協同反應表明生態系統正在「從孤立的協議轉向更加協同的金融體系」,但重點仍應放在追責上。
根據 Chainalysis 的報告,據信是朝鮮拉撒路集團(Lazarus Group)的攻擊者通過對內部 RPC 節點投毒以報告資產的「幻影銷毀」,攻破了 LayerZero 的單一驗證器網絡。這使得攻擊者能夠在以太坊上非法鑄造 11.65 萬枚 rsETH。
該事件導致受影響協議的 TVL(總鎖定價值)蒸發了超過 150 億美元,引發了頂級 DeFi 參與者的大規模協同救援,同時也引發了公眾對跨鏈橋架構安全性和中心化問題的嚴重質疑。
DeFi 聯手救助
為了應對資金缺口,一個名為「DeFi 聯盟」(DeFi United)的協議聯盟正在動員吸納壞帳。救援行動包括 Aave 創始人 Stani Kulechov 個人承諾捐贈 5000 ETH,以及 Mantle 向 Aave DAO 提供 3 萬枚 ETH 信貸額度的提案。Lido Finance、Golem 基金會和 Ether.fi 也承諾提供數百萬美元的支持。Arbitrum 安全委員會正與執法部門合作,成功凍結了與攻擊者下游地址相關的 30,766 枚 ETH,價值約 7150 萬美元。
配置之謎
由於對 LayerZero 安全立場的質疑,該事件的影響進一步加劇。Ripple 首席技術官 David Schwartz 強調了 LayerZero 首席執行官 Bryan Pellegrino 在 2024 年 12 月的一份聲明,當時他聲稱該協議「0%」的交易量僅依賴於單一的去中心化驗證網絡(DVN)。「在 2024 年 12 月到現在之間發生了什麼變化嗎?」Schwartz 質問道,暗示攻擊可能並非如描述的那樣發生,或者早期的安全聲明並不準確。LayerZero 堅稱該攻擊僅限於 KelpDAO 特定的單一 DVN 設置。
本文僅供參考,不構成投資建議。