博链BroadChain获悉,4月24日 04:16,Kelp DAO基于LayerZero的rsETH跨链桥于4月19日凌晨遭攻破,116,500枚rsETH(约2.92亿美元)在无对应销毁记录下从主网流出。攻击者绕过lzReceive验证逻辑,伪造跨链消息直接触发储备释放。一小时内Kelp暂停合约,但后续追加攻击若成功,总损失将达3.91亿美元。
此次攻击根源在于Kelp采用LayerZero最弱安全配置——1/1 DVN,即单验证器签名即可通过。密码学安全公司Sodot联合创始人Shalev Keren指出,这是“单点故障”,无法通过审计修复。早在2025年1月,已有团队在Aave治理论坛提醒扩展至多DVN验证,但15个月后仍未执行。LayerZero事后称多次敦促升级,并宣布停止为单验证器应用批准消息。
攻击者将盗取的rsETH存入Aave、Compound等借贷平台,借出超2.36亿美元真实资产。Aave冻结市场后引发超100亿美元提款潮,Fluid、Upshift、Lido Earn等至少9个协议触发紧急响应。SparkLend早在2026年1月便下架rsETH,凸显行业对LRT类资产风险认知的分化。
LayerZero将攻击归因于朝鲜Lazarus Group,但Cyvers未跟进此结论,因恶意节点软件自动清除痕迹导致取证困难。两起事件(三周前Drift Protocol损失2.85亿美元)表明,DeFi现有安全框架已无法应对当前威胁。行业需在协议设计、抵押品风控、运营安全及情报共享层面系统升级。