LayerZero启动2300万美元援助计划应对跨链漏洞危机

针对近期席卷DeFi生态的巨额资金外流事件，LayerZero正式宣布向救援体系注入10,000 ETH，其中5,000 ETH存入DeFi United基金，另5,000 ETH直接注入Aave协议以增强其流动性支持，并承诺持续维护GHO代币的稳定流通。

攻击手法揭秘：伪造数据绕过跨链验证机制

2026年4月18日，攻击者利用伪造交易数据模拟合法跨链流程，成功触发Kelp跨链桥的资金释放机制，单次盗取价值2.92亿美元的资产。尽管系统在46分钟后阻断进一步攻击，但首批116,500枚rsETH已流入外部账户。

调查指出，该行为由隶属于朝鲜Lazarus集团的TraderTraitor团队主导，此前曾于4月1日实施另一起2.85亿美元的攻击。综合分析显示，该团伙在18天内通过不同技术路径共窃取逾5.75亿美元，凸显其对DeFi基础设施的持续渗透能力。

攻击者未立即抛售所获资产，而是将约9万枚rsETH质押至Aave，借出价值约1.9亿美元的ETH及其他抵押品，造成协议层面不可逆的坏账风险。此操作直接导致Aave总锁仓价值从320亿美元锐减至203亿美元，降幅达130亿美元，用户面临USDC与USDT提取困难。

责任争议与响应延迟背后的深层矛盾

Kelp DAO与LayerZero均被指负有管理责任。前者采用单一验证者架构，形成关键节点脆弱性；而虽然LayerZero曾建议使用多验证者模式，但Kelp表示其默认配置为官方推荐方案，存在信任依赖偏差。

前Ripple首席技术官David Schwartz公开质疑LayerZero声明的准确性，援引其CEO Bryan Pellegrino早前关于“无应用仅依赖单一验证网络”的说法，认为存在误导性陈述。社交媒体上大量用户批评其在其他机构已提供大规模援助后仍迟缓介入。

在Consensys与Joe Lubin承诺30,000 ETH、Mantle提供同等规模低息贷款、Stani Kulechov宣布捐赠5,000 ETH之后，待救援总额突破3亿美元五日后，LayerZero才最终兑现10,000 ETH的承诺。该时间差引发公众对其响应优先级的广泛质疑。

DeFi United联盟构建双阶段恢复框架

作为事件后的临时协调机制，DeFi United由14家实体共同组建，涵盖捐赠、存款及信贷支持等多种形式，合力应对系统性流动性危机。

多方支援承诺明细

Consensys与Joe Lubin：30,000 ETH（约6,900万美元）赠款/承诺； Mantle：30,000 ETH（约6,900万美元）低息贷款； Aave DAO（待投票）：25,000 ETH（约5,750万美元）国库拨付； Arbitrum安全委员会：30,766 ETH（约7,100万美元）冻结攻击者资金（待治理投票）； LayerZero：10,000 ETH（约2,300万美元），分别注入DeFi United与Aave各5,000 ETH，并支持GHO； Stani Kulechov（Aave创始人）：5,000 ETH（约1,150万美元）个人承诺； Kelp DAO：2,000 ETH（约460万美元）捐助； Lido、EtherFi、Ethena等机构：多项小额支持； Circle：购入AAVE代币以示协议支持； 承诺总额：超3亿美元。

恢复计划分两步推进：第一阶段，各支持方逐步将承诺的ETH转换为rsETH并注入Kelp跨链桥；第二阶段，通过特殊清算程序回收攻击者在Aave与Compound中的剩余头寸。目前Arbitrum已冻结攻击者钱包中30,766 ETH，若治理投票通过，多数损失资产有望追回。

DeFi安全范式重构的迫切需求

据Galaxy Research统计，过去20天内已有超过12个协议累计损失超过6.05亿美元。基于LayerZero构建的应用现必须全面转向多验证者架构，因该平台已明确拒绝支持单一验证者模式的接入。

尽管去中心化金融倡导无中心控制，但本次危机暴露了实际恢复过程严重依赖中心化力量——包括Arbitrum的紧急授权、Circle的钱包冻结、Aave的加速治理流程。核心问题在于：系统是否具备真正的自我修复能力？还是必须依靠外部干预才能延续运行？答案取决于各协议能否在下一次攻击前完成根本性升级。