KelpDAO遭大规模跨链攻击：2.9亿美元损失揭示协议架构缺陷

2026年4月18日，KelpDAO协议遭遇严重安全事件，其跨链rsETH基础设施被利用，导致约2.93亿美元资金被盗，成为当年最重大的DeFi安全事故之一。此次攻击仅波及特定配置的rsETH资产，未影响其他通过LayerZero连接的项目。

事件核心事实与当前状态

损失规模确认

LayerZero官方披露，此次攻击涉及约2.9亿美元的资产，主要集中在KelpDAO的rsETH模块。该漏洞未扩散至其他与LayerZero集成的链上资产，范围相对局限，但影响深远。

信息差异与调查进展

不同渠道对损失金额存在轻微出入，初期报告为2.93亿美元，后续官方声明则调整为约2.9亿美元。截至目前，KelpDAO尚未发布完整事件分析或责任认定报告，部分关键细节仍处于待定状态。

攻击机制解析：非合约漏洞，而是链下数据劫持

攻击并非基于智能合约逻辑缺陷，而是通过入侵内部RPC节点，并对公共外部节点发起分布式拒绝服务攻击，向LayerZero所依赖的单路DVN验证通道注入虚假数据。

一条伪造自Unichain并发送至以太坊的入站消息，在未执行源链销毁操作的情况下，直接触发了以太坊侧适配器释放116,500枚rsETH。这一欺诈性指令耗尽了适配器中大部分储备资产。

Aave的审计数据显示，漏洞发生后，适配器内实际剩余资产仅为40,373枚rsETH，而远程链上的未偿还索取权高达152,577枚，形成显著的资产缺口。

Chainalysis初步将此次攻击关联至朝鲜背景的Lazarus组织，但该归因尚未定论。执法机构已介入调查，Arbitrum安全委员会亦冻结部分下游资金，并配合调查进程。

连锁反应：Aave面临逾2.3亿美元潜在坏账

Aave治理论坛公布了两种可能的损失分摊情景。若按均匀分摊，协议预计承担约1.237亿美元坏账；若由L2端rsETH持有者单独承担，则坏账规模将升至2.301亿美元。

该事件凸显跨链借贷生态中存在的集中性风险——单一桥接故障可迅速传导至多个独立协议，引发系统性压力。近期市场亦出现类似机构资金撤离信号，尽管成因各异。

Lombard Finance启动大规模资产转移，转向链上安全替代方案

作为最直接的市场回应，Lombard Finance宣布将超过10亿美元的比特币支持型资产从LayerZero迁移至Chainlink的CCIP网络。此举被视为对LayerZero桥接安全性的公开质疑。

公司强调，此次迁移优先保障所有用户资产安全，并重申其自成立以来始终保持零安全事故、100%系统可用性的承诺。

该行动标志着比特币DeFi领域关键资产的重大再配置，进一步加剧了市场对主流跨链基础设施的信任危机。当前比特币价格报78,093美元，市场恐惧与贪婪指数降至31，进入“恐惧”区间。

事件深层警示：单点验证路径的致命脆弱性

KelpDAO事件揭示了一类结构性风险：依赖单一链下验证路径的系统，一旦其数据源被攻破，即可无须突破智能合约逻辑即完成大额资金提取。

从缺乏足额储备的代币索取权，到Aave的坏账预估，再到Lombard数十亿美元资产的迁移，整个链条清晰展示了跨链协议间高度耦合的风险传导机制。

KelpDAO仍未发布正式财务影响说明或事件复盘报告。在官方声明出炉前，用户实际损失范围及未来恢复可能性仍不明确。