朝鲜网络犯罪分子针对 KelpDAO 的 LayerZero 协议进行跨链抢劫，窃取了近 3 亿美元的资金

关键事实 2026 年 4 月 18 日，导致 KelpDAO 跨链桥清空的漏洞发生在六周前。 3 月 6 日，LayerZero Labs 开发人员克隆了恶意 GitHub 存储库，在公司设备上安装了 FLATROOF 和 ROOFDECK 恶意软件。该恶意软件为攻击者提供了远程访问权限，并允许他们获取 LayerZero 远程过程调用 (RPC) 基础设施的会话密钥。

网络安全公司 Mandiant 和 CrowdStrike 高度确信此次攻击是 UNC4899 所为，该组织也被称为 TraderTraitor，这是一个与朝鲜国家有关联的威胁组织。根据 LayerZero 于 2026 年 5 月 18 日发布的最终事件报告，按泄露当天的市场价格计算，被盗总额为 2.92 亿美元。

在单个验证者节点遭到破坏后，伪造的跨链消息释放了 116,500 rsETH。LayerZero 的架构依赖于去中心化验证者网络（DVN）在桥接合约释放资金之前确认跨链消息是合法的。 4 月 18 日，攻击者将恶意代码注入 LayerZero 的两个内部 RPC 服务器集群。注入的代码使这些服务器将伪造的区块链状态返回给 DVN 签名服务，同时对监控工具来说显得正常。

同时，攻击者针对 LayerZero 的外部 RPC 提供商发起了分布式拒绝服务攻击。这迫使 DVN 只能退回到两个受感染的内部节点上。 DVN 为伪造的跨链消息生成了有效证明，以太坊桥接合约向攻击者的地址释放了 116,500 rsETH（KelpDAO 的流动性重新抵押代币）。 LayerZero 网络上的其他应用程序没有受到影响。

LayerZero 承认它未能监控其自己的验证器如何确保高价值传输的安全。KelpDAO 的网桥之前使用两个 DVN 来验证每条消息 - 2-of 2 配置。它已更改为仅需要一个验证器，即 LayerZero Labs DVN 本身，从而产生了单点故障。 LayerZero 最初将责任归咎于 KelpDAO 的配置选择。它于 2026 年 5 月 8 日改变了这一立场。

“我们犯了一个错误，允许我们的 DVN 充当高价值交易的 1/1 DVN。我们没有监管我们的 DVN 所保护的内容，这造成了我们根本没有看到的风险。我们拥有它。”，2026 年 5 月 8 日。

— LayerZero 实验室 

在承认之后，LayerZero 表示其 DVN 将不再为任何使用 1-of-1 配置的应用程序签署证明。所有路径的协议默认值都提高到至少 3 个验证者中的 3 个。

Solv Protocol 将 7 亿美元的代币化比特币桥接基础设施从 LayerZero 移走 管理代币化比特币产品的 Solv Protocol 宣布，在进行安全审查后，将把价值超过 7 亿美元的代币化比特币桥接基础设施从 LayerZero 移走。 Kelp 还将其 rsETH 桥从 LayerZero 的 Omnichain Fungible Token 标准迁移到替代的跨链协议。这两项声明都是在公开披露该漏洞以及 LayerZero 承认错误之后发布的。

随着以太坊吸收其影响，DeFi 桥安全标准面临审查以太坊在发布时的交易价格为 1,980 美元，在过去 7 天里下跌了 5.5%（CoinPaprika，2026 年 6 月 2 日）。更广泛的以太坊 DeFi 生态系统托管着大部分跨链桥基础设施（按锁定的总价值计算），并在事件发生后重新评估安全假设。

KelpDAO 漏洞暴露的风险超出了 LayerZero 本身的范围。任何依赖单个​​验证者来证明高价值跨链消息的桥都具有相同的结构暴露。 Arbitrum 安全委员会于 2026 年 4 月 20 日冻结了与攻击者相关的下游资金中的 30,766 ETH，部分限制了该漏洞对更广泛市场的影响。

主要来源：LayerZero Labs — 逾期道歉，2026 年 5 月 8 日网络安全公司 Mandiant 和 CrowdStrike 高度确信此次攻击是 UNC4899（也称为 TraderTraitor）——一个与朝鲜国家相关的威胁组织。根据 LayerZero 的最终事件报告，按泄露当天的市场价格计算，被盗总额为 2.92 亿美元。