KelpDAO跨链桥遭黑客入侵，2.9亿美元资产被窃取

4月18日，基于LayerZero协议构建的KelpDAO跨链桥遭遇严重安全事件，导致约2.9亿美元的116,500枚rsETH被非法转移。该起攻击被认定为2026年以来影响最广泛的去中心化金融安全事故。据基础设施服务商LayerZero披露，初步调查指向朝鲜支持的拉撒路集团，其通过操控远程调用节点实施了系统性渗透。

攻击路径与技术特征分析

攻击者首先侵入依赖于LayerZero的两个关键远程调用节点，随后向备用节点注入大量无效请求，诱导系统切换至已被篡改的故障节点。在验证器对伪造交易完成签名后，跨链桥自动向攻击者控制的地址释放了巨额资产。攻击完成后，恶意代码立即执行自毁程序，清除所有二进制文件及操作日志，显著提升了溯源难度。

资金外流与市场震荡效应

此次攻击引发连锁反应，借贷平台Aave在事件发生后出现超100亿美元资金流出，锁仓总值由458亿美元锐减至357亿美元。综合统计显示，攻击发生后的48小时内，整个去中心化金融生态的总锁仓价值蒸发超过130亿美元，市场信心受到严重冲击。

责任界定争议持续发酵

关于漏洞成因，双方立场对立。LayerZero强调KelpDAO采用了其多次警告的“1-of-1”单节点验证架构，该模式存在明显单点失效风险，并宣布将终止对该类配置的支持。而KelpDAO回应称其部署完全遵循官方默认设置，且受控节点属于LayerZero自身基础设施范畴。独立审计发现，公开代码中多条链均默认启用单一验证源，与其指责用户违规的说法形成矛盾。

后续影响与追查进展

这是拉撒路集团在4月内发起的第二起重大攻击，此前于4月1日对Drift Protocol发动2.85亿美元攻击，本月累计盗取金额已突破5.75亿美元。目前攻击者正利用Arbitrum网络转移资产，并将其转换为波场链上的稳定币以规避追踪。业内分析认为，此类标志性事件或将促使华尔街机构重新评估跨链桥的安全性，短期内可能抑制其对数字资产代币化项目的投入意愿。尽管LayerZero确认采用多验证器方案的应用未受影响，但已启动全网迁移计划淘汰单验证源机制。目前，相关方正联合执法部门与安全联盟展开资金追踪，但隐私保护工具的广泛使用极大增加了追回可能性。