核心要点:
- 攻击者利用 KelpDAO 上单一验证器的 LayerZero 跨链桥,铸造了 2.92 亿美元无抵押的 rsETH 代币。
- 以 Aave 和 Mantle 为首的“DeFi 联盟”(DeFi United)已启动救助行动。
- Ripple 首席技术官对 LayerZero 的官方解释提出质疑,指出其系统安全配置的过往陈述存在矛盾。
返回
返回
KelpDAO 遭攻击损失 2.92 亿美元,暴露 LayerZero 跨链桥风险
4 月 18 日,由于基于 LayerZero 构建的 KelpDAO 跨链桥基础设施存在关键漏洞,导致了一场涉及 2.92 亿美元的攻击。该漏洞制造了无抵押的 rsETH 代币,并在 Aave 借贷协议上引发了流动性危机。
Altura DeFi 首席运营官 Matthew Pinnock 在接受 Decrypt 采访时表示,这次协同反应表明生态系统正在“从孤立的协议转向更加协同的金融体系”,但重点仍应放在追责上。
根据 Chainalysis 的报告,据信是朝鲜拉撒路集团(Lazarus Group)的攻击者通过对内部 RPC 节点投毒以报告资产的“幻影销毁”,攻破了 LayerZero 的单一验证器网络。这使得攻击者能够在以太坊上非法铸造 11.65 万枚 rsETH。
该事件导致受影响协议的 TVL(总锁定价值)蒸发了超过 150 亿美元,引发了顶级 DeFi 参与者的大规模协同救援,同时也引发了公众对跨链桥架构安全性和中心化问题的严重质疑。
DeFi 联手救助
为了应对资金缺口,一个名为“DeFi 联盟”(DeFi United)的协议联盟正在动员吸纳坏账。救援行动包括 Aave 创始人 Stani Kulechov 个人承诺捐赠 5000 ETH,以及 Mantle 向 Aave DAO 提供 3 万枚 ETH 信贷额度的提案。Lido Finance、Golem 基金会和 Ether.fi 也承诺提供数百万美元的支持。Arbitrum 安全委员会正与执法部门合作,成功冻结了与攻击者下游地址相关的 30,766 枚 ETH,价值约 7150 万美元。
配置之谜
由于对 LayerZero 安全立场的质疑,该事件的影响进一步加剧。Ripple 首席技术官 David Schwartz 强调了 LayerZero 首席执行官 Bryan Pellegrino 在 2024 年 12 月的一份声明,当时他声称该协议“0%”的交易量仅依赖于单一的去中心化验证网络(DVN)。“在 2024 年 12 月到现在之间发生了什么变化吗?”Schwartz 质问道,暗示攻击可能并非如描述的那样发生,或者早期的安全声明并不准确。LayerZero 坚称该攻击仅限于 KelpDAO 特定的单一 DVN 设置。
本文仅供参考,不构成投资建议。