去中心化金融平台在近 3 亿美元被盗后放弃了易受攻击的桥接协议，选择安全的跨链解决方案

继 2026 年 4 月 18 日发生重大漏洞之后，KelpDAO 正在迁移到 Chainlink 的跨链互操作性协议。这次攻击与朝鲜的 Lazarus 组织有关，目标是 LayerZero 的基础设施，并从 KelpDAO 的网桥中窃取了 116,500 rsETH。整个 DeFi 协议的总损失超过 3 亿美元。此后，KelpDAO 对 LayerZero 对事件的界定提出质疑，称基础设施故障是 LayerZero 自身运营中的系统性问题。 4 月 18 日的漏洞源自 LayerZero Labs 的链下基础设施。攻击者破坏了 LayerZero 的 DVN 使用的两个 RPC 节点，并对其余节点发起 DDoS 攻击。这迫使 DVN 签名者验证一项不存在的交易，从而产生虚假的代币销毁，并让没有支持的 rsETH 充斥市场。 Aave 和其他 DeFi 平台都是受到无支持的 rsETH 影响的协议之一。 LayerZero Labs DVN 还签署了另外两笔价值超过 1 亿美元的伪造交易。 KelpDAO 的团队及时进行干预，在进一步损害发生之前暂停合约并阻止这些交易。 KelpDAO 还直接向 LayerZero 标记了该漏洞，因为后者的监控系统尚未检测到它。据 KelpDAO 称，LayerZero 团队在第一次联系时似乎没有意识到任何问题。这引发了人们对 LayerZero 内部警报流程可靠性的担忧。在最近的 LayerZero 漏洞之后，我们正在采取措施确保 rsETH 完全安全，这就是我们迁移到 @chainlink CCIP 的原因。从 4 月 18 日的事件来看，很明显 LayerZero 自己的基础设施被利用，导致整个 DeFi 损失 3 亿美元。… https://t.co/beIrfZZLlh — Kelp (@KelpDAO) 2026 年 5 月 5 日 LayerZero 将此次漏洞归因于 KelpDAO 使用 1-of-1 DVN 配置，称其为有风险的手动设置。 KelpDAO 坚决反驳了这一说法。根据 Dune Analytics 数据，大约 2,665 个 LayerZero OApp 合约中的 47% 当时使用了相同的 1-1 DVN 设置。 KelpDAO 还分享了 Telegram 交流，显示 LayerZero 团队成员在部署前审查期间明确批准了 1-1 配置。据报道，经过 2.5 年的整合讨论，LayerZero 并未对这一设置提出异议。 KelpDAO 遵循 LayerZero 自己的文档和快速入门指南，默认为 1-1 LayerZero Labs DVN 配置。 @CatfishFishy 于 4 月 24 日发布的帖子引起了人们对 LayerZero 布莱恩 2024 年 12 月声明的关注，他声称没有应用程序使用 LayerZero DVN 作为 1-1 设置。那时，在该配置下，rsETH 已经在 L2 部署中持有大约 2 亿美元的 TVL。包括 @banteg 在内的独立安全研究人员也通过公开报告证实，该漏洞源自 LayerZero 自己的基础设施，而不是 KelpDAO 的设置。漏洞发生后，KelpDAO 宣布全面放弃 LayerZero。该协议现在正在转向 Chainlink 的跨链互操作性协议，并采用 Chainlink 的 rsETH 跨链代币标准。 KelpDAO 的工程团队目前正在完成迁移。 Chainlink 的去中心化预言机网络在七年多的运营中已处理了超过 30 万亿美元的价值。该网络在几次重大的全球中断期间仍然保持功能，使其成为跨链安全的更成熟的选择。 KelpDAO 表示，所有 rsETH 跨链转账很快将通过 Chainlink CCIP 在所有支持的链上运行。漏洞发生后，LayerZero 宣布将停止使用 1-1 DVN 设置来验证任何应用程序的消息。 KelpDAO 指出，这一政策变化是在该配置已经造成数亿美元损失之后才做出的。然而，据报道，1-1 配置仍然出现在 LayerZero 自己的文档和默认 OFT 部署模板中。