价值 2.9 亿美元的 Kelp DAO 漏洞与 Lazarus 集团和薄弱的桥梁安全性有关

Kelp DAO 在周末攻击中遭受了总计约 290-2.93 亿美元的损失，这是 2026 年最重大的去中心化金融安全漏洞之一。事件中使用的跨链消息传递协议 LayerZero 将该漏洞归因于 Kelp 的基础设施决策。今天早些时候，我们发现了涉及 rsETH 的可疑跨链活动。在我们调查期间，我们已经暂停了主网和几个 L2 上的 rsETH 合约。我们正在与@LayerZero_Core、@unichain、我们的审核员和 RCA 顶级安全专家合作。我们会让你……——Kelp (@KelpDAO) 2026 年 4 月 18 日 这次泄露主要集中在 Kelp 跨不同区块链网络的 rsETH 代币转移机制。使用单验证者架构进行操作意味着只需要一个机构来验证跨链传输。据 LayerZero 称，该公司已明确警告 Kelp 有关此配置的信息，并敦促采用多个独立验证源。 LayerZero：KelpDAO 因利用漏洞损失约 2.9 亿美元，归因于朝鲜的 Lazarus 集团 LayerZero 报告称，2026 年 4 月 18 日，KelpDAO 遭受漏洞利用，造成约 2.9 亿美元的损失，初步归因于朝鲜的 Lazarus 集团（TraderTraitor）。这次攻击中毒了…… pic.twitter.com/mfhQRaC2p9 — Wu Blockchain (@WuBlockchain) 2026 年 4 月 20 日黑客渗透了两个远程过程调用节点——使软件能够与区块链数据交互的专用服务器。这些合法节点被受损版本所取代，这些版本向 LayerZero 的验证系统传递欺诈信息，同时保持其他基础设施组件的正常外观。由于 LayerZero 的验证过程还咨询了合法的外部节点，因此攻击者发起了分布式拒绝服务活动来禁用这些系统。这一策略在太平洋时间周六上午 10:20 至 11:40 的 80 分钟窗口内通过受感染的基础设施重定向了网络流量。当故障转移机制激活时，恶意节点会将合法交易的确认传输给验证者。 Kelp 的桥接协议随后向攻击者的钱包释放了 116,500 rsETH。然后，恶意软件自我消除，删除了受影响服务器上的所有取证证据。被盗的 rsETH 代币被用作各个借贷平台的抵押品，使攻击者能够提取真实资产。占主导地位的去中心化借贷平台 Aave 承受了最严重的损失。 Aave 发现自己持有非流动性的 rsETH 抵押品，而 ETH 等有价值的资产已经通过借贷机制被提取。 Aave 的原生代币在 24 小时内暴跌约 15%，而随着参与者争先恐后地撤走资金，该协议经历了约 60 亿美元的提款。至少有 9 个 DeFi 应用程序遭受了损坏，包括 Fluid、Compound Finance、SparkLend 和 Euler。网络安全公司 Cyvers 将该事件描述为“跨协议传染事件”，其范围远远超出了单一平台漏洞的范围。初步确定，LayerZero 已将这次攻击与朝鲜的 Lazarus Group，特别是其 TraderTraitor 部门联系起来。该组织还与 4 月 1 日发生的价值 2.85 亿美元的 Drift Protocol 泄露事件有关，这表明 Lazarus 在 18 天内使用两种不同的攻击方法从去中心化金融中提取了超过 5.75 亿美元。 LayerZero 报告没有证据表明漏洞传播到使用多验证器架构运行的应用程序。该公司已恢复其验证服务，并宣布一项永久政策，拒绝处理任何使用单验证器配置的应用程序的消息。 Curve Finance 创始人 Michael Egorov 强调，此次违规行为表明依赖单独交易验证源存在固有风险。他还警告说，除非操作必要，否则不要使用跨链基础设施。 Ledger 首席技术官 Charles Guillemet 表示，2026 年“很可能是黑客攻击最严重的一年”。 2026 年第一季度，与加密货币相关的安全漏洞损失已超过 4.82 亿美元。Kelp 对 LayerZero 的事件版本保持沉默，也没有解释为什么该协议尽管收到明确的安全警告，仍继续使用单验证器架构运行。