2026年4月18日,KelpDAO 遭遇了 DeFi 領域年度規模最大的安全攻擊,攻擊者透過其 LayerZero 驅動的跨鏈橋竊取約 116,500 枚 rsETH,總價值約 2.92 億美元。本次攻擊的本質並非傳統智能合約漏洞,而是跨鏈信任模型失效疊加 DeFi 可組合性放大所形成的系統性安全事件。
攻擊的核心技術路徑指向 LayerZero 跨鏈驗證架構的配置缺陷。KelpDAO 的 rsETH 橋採用了 LayerZero OFT(Omnichain Fungible Token)方案,其安全機制依賴於 DVN(去中心化驗證網路)。然而,KelpDAO 運行的是 1-of-1 單驗證節點配置,意味著僅需一個驗證節點簽名即可確認跨鏈訊息為真實。攻擊者透過攻擊手段偽造了一次跨鏈訊息,系統便自動釋放了約 2.92 億美元資產。該攻擊的執行極為高效:從呼叫核心函數到資金被全部轉移,整個過程僅持續了 46 分鐘。
攻擊者在完成竊取後,將所得 rsETH 作為抵押品存入 Aave V3 及其他借貸協議,借出大量 ETH,在 Aave 帳簿上製造了約 1.96 億美元的壞帳。Aave 總鎖倉量(TVL)從約 264 億美元急劇縮水至 186 億美元,AAVE 代幣單日跌幅約 20%。攻擊者隨後將約 30,766 枚 ETH 轉移至 Arbitrum One 鏈上持有,這一資金動向成為後續安全委員會介入的直接觸發點。
安全委員會的行動依據是什麼
Arbitrum 安全委員會是由 Arbitrum DAO 選舉產生的 12 人機構,其成員透過定期選舉輪替,每屆任期 12 個月,6 人一組交錯選舉。安全委員會的核心職能是在緊急情況下透過 9-of-12 多簽錢包快速採取行動,以保障 Arbitrum 生態的安全與完整。
在此次事件中,安全委員會行動的前提條件——攻擊者身分確認——得到了執法部門的協助。Arbitrum 在公告中明確指出,安全委員會「基於執法部門關於攻擊者身分的資訊」採取了行動。從治理程序的角度看,此次行動符合 Arbitrum 漸進式去中心化文件中關於「災難性緊急情況」的定義,安全委員會由此獲得了啟動干預的法定依據。
需要指出的是,安全委員會的權力並非無限。根據 Arbitrum DAO 章程,安全委員會僅能在緊急情況下繞過標準治理流程執行操作,其多簽門檻為 12 人中至少 9 人同意。此次行動中,共有 9 名成員投票支持資金凍結,滿足了多簽授權的最低要求。安全委員會成員 Griff Green 在 X 平台上表示,這一決定「並非輕率做出,而是經歷了無數小時的技術、實踐、倫理和政治層面的辯論」。
鏈上凍結的技術路徑如何實現
Dragonfly 管理合夥人 Haseeb Qureshi 對這一操作的技術本質進行了詳細解析。凍結交易所使用的交易類型為 ArbitrumUnsignedTxType(EIP-2718 type 0x65/101),屬於系統級交易,無法由普通外部帳戶(EOA)透過私鑰簽署生成,只能由安全委員會透過 ArbOS 注入執行。
這意味著本次操作的核心機制與區塊鏈的常規交易模型存在根本差異。普通交易由用戶私鑰簽署,其合法性來源於用戶授權;而此次系統級交易的合法性來源於鏈的共識規則本身,而非任何單一用戶的簽名。安全委員會透過 9-of-12 多簽授權觸發了 ArbOS 的底層狀態修改能力,直接變更了特定地址的帳戶餘額——將 30,766 枚 ETH 從攻擊者地址轉移至中間凍結錢包,而該地址內的 ETH 由鏈本身的執行邏輯強制轉移。
值得注意的是,這一操作並非傳統意義上的「鏈回滾」。它沒有撤銷任何已確認的區塊,也沒有重寫交易歷史。所有攻擊發生期間的鏈上紀錄完好保留,區塊鏈帳本的不可逆性並未被破壞。從狀態機的視角看,這本質上是一次「狀態級別」的資產追回:攻擊者的私鑰仍然可以對交易進行簽名,但其地址下的核心資產已被鏈的規則強制轉移至治理控制的錢包。這一技術設計在保留區塊鏈帳本完整性的前提下,實現了對特定資產的定向干預。
凍結操作本身具有極高的精度。Arbitrum 方面強調,整個轉移過程不影響「任何其他鏈上狀態或 Arbitrum 用戶」,也不影響任何 Arbitrum 應用程式的正常運作。截至美國東部時間4月20日晚11:26,資金已成功轉移至中間凍結錢包,攻擊者原始地址不再具備對這批資金的存取權限。任何後續的資金轉移只能由 Arbitrum 治理機構透過與相關方協調後執行。
治理干預與去中心化原則如何權衡
此次凍結行動在高效攔截部分被盜資金的同時,也引發了關於去中心化網路治理邊界的廣泛討論。一個 Layer-2 安全委員會在執法機構協助下主動介入並凍結特定鏈上地址的資產,這一行為在 DeFi 歷史上形成了重要先例。
爭議的核心在於:區塊鏈的不可篡改性和抗審查性究竟是絕對原則,還是可以在特定條件下做出妥協。支持者認為,在用戶資產遭受大規模損失的情況下,具備緊急回應機制的治理干預是保障生態系統安全的必要工具。安全委員會作為由社群選舉產生的機構,其行動本質上代表了社群在極端情況下的集體意志。反對者則指出,任何形式的鏈上資產凍結都與區塊鏈的底層哲學存在張力。在 X 平台上,多名用戶對 Arbitrum 的行動表示批評,質疑在安全委員會一紙決定即可凍結資金的前提下,網路的去中心化程度究竟還剩多少。
從制度設計的角度看,Arbitrum 安全委員會的權力邊界已被明確定義。根據 Arbitrum 漸進式去中心化文件,安全委員會只能在「災難性緊急情況」下行使此類權力,且必須滿足 9-of-12 的多簽門檻。此外,安全委員會成員由 DAO 選舉產生,並可透過 DAO 投票或成員間的罷免機制被移除,形成了一定的制衡結構。然而,此次事件也暴露了一個尚未解決的問題:在缺乏鏈上自動化觸發機制的情況下,「災難性緊急情況」的判斷標準仍依賴於安全委員會的主觀裁量,這一權力邊界的模糊性本身即構成潛在的治理風險。
跨鏈基礎設施暴露了哪些系統性風險
KelpDAO 安全事件從根源上揭示了跨鏈基礎設施的結構性脆弱性。過去幾年,跨鏈橋被盜資金累計超過 28 億美元,占 DeFi 總被盜金額的近一半。本次事件再次印證了這一趨勢:攻擊的核心漏洞並非智能合約程式碼本身的缺陷,而是跨鏈驗證機制的信任模型設計存在單點失效。
LayerZero 在其事件調查中指出,KelpDAO 使用的 1-of-1 DVN 單驗證節點配置違背了業界最佳實踐,而 LayerZero 曾多次建議採用多驗證節點配置以實現冗餘,但這些建議未被採納。這一配置缺陷使得攻擊者僅需攻破一個驗證節點即可觸發整個系統的資產釋放。Ripple CTO David Schwartz 在 X 平台上的評論概括了這一問題的本質:「攻擊遠比預期的更複雜,它利用了 KelpDAO 的配置疏忽,瞄準了 LayerZero 的基礎設施」。
跨鏈基礎設施的信任模型本質上是對區塊鏈去中心化信任假設的某種「妥協」。在多鏈生態中,資產在不同鏈之間的流動必須依賴某個中間層來驗證和傳遞訊息,這一中間層無論是採用多簽、DVN 還是其他驗證機制,都難以完全消除對特定驗證者群體的依賴。KelpDAO 事件表明,當這種依賴被壓縮至單點時,整個跨鏈橋就變成了一個極易被攻破的薄弱環節。
行業將如何重塑安全與治理框架
本次事件為 DeFi 行業提供了多個層面的深刻啟示。
在跨鏈安全層面,單驗證節點配置應被視為不可接受的安全實踐。LayerZero 已將受影響的基礎設施節點下線並恢復 DVN 運作,但更廣泛的問題是:還有多少協議在使用類似的單點配置運行?行業需要建立更為嚴格的跨鏈安全稽核標準和配置規範,從制度層面消除單點信任風險。
在治理機制層面,安全委員會緊急處置權與社群民主治理之間的平衡需要進一步細化。目前,安全委員會在「災難性緊急情況」下的行動邊界仍依賴於主觀判斷,缺乏明確的鏈上觸發條件和事後審查機制。一個可能的演進方向是建立多層次的緊急回應分級體系,根據事件的嚴重程度匹配不同的授權層級,並在事後引入獨立的審查委員會對緊急行動的合理性進行評估。
在損失分配層面,KelpDAO 事件的損失總額約為 2.92 億美元,其中 Arbitrum 安全委員會成功凍結約 7,100 萬美元,回收比例接近四分之一。剩餘損失的處置方案——包括 Aave 壞帳的消化方式、各協議間的損失分攤機制,以及是否啟動保險賠付——仍在持續博弈之中。這一案例可能推動 DeFi 協議在設計之初就將安全事件應急回應和損失分攤機制納入架構考量,而非在事件發生後再尋求臨時解決方案。
總結
KelpDAO 安全事件從跨鏈橋漏洞爆發到安全委員會凍結 30,766 枚 ETH,完整呈現了 DeFi 生態在面對大規模攻擊時的應急回應鏈路。事件的核心矛盾——跨鏈基礎設施的信任模型缺陷與去中心化治理的干預邊界——將成為行業下一階段制度建設和安全升級的重要參照。30,766 枚 ETH 的成功凍結是資金追回的階段性勝利,但它提出的問題遠比解決的問題更多:誰來定義「災難性緊急情況」?緊急干預的授權標準如何鏈上化?跨鏈基礎設施的信任假設如何在安全性與去中心化之間找到更優解?這些問題的答案,將在未來很長一段時間內影響 DeFi 生態的演進方向。
常見問題(FAQ)
Arbitrum 安全委員會是如何在不影響其他用戶的情況下精確凍結資金的?
安全委員會採用了一種針對特定地址的系統級技術方案,透過 ArbOS 注入執行 ArbitrumUnsignedTxType 交易,直接將攻擊者地址中的 30,766 枚 ETH 轉移至中間凍結錢包。該操作不修改任何歷史區塊,也不影響其他用戶地址的餘額或合約的正常運作,其精度體現在僅針對特定地址進行狀態修改。
被凍結的 30,766 枚 ETH 後續將如何處置?
目前這批資金存放於僅由 Arbitrum 治理機構控制的中繼錢包中。任何後續的資金轉移都需要透過 Arbitrum 治理程序並與相關方協調後方可執行。具體的資金返還方案尚未公布,預計將依據執法調查進展和法律程序確定。
此次凍結行動對 KelpDAO 安全事件的整體處理有何影響?
此次行動成功回收了約 7,100 萬美元的被盜資金,占總損失金額的近四分之一,有效限制了攻擊者對這部分資金的控制能力。然而,KelpDAO 事件的完整處理——包括 Aave 約 1.96 億美元的壞帳處置、KelpDAO 與 LayerZero 之間的責任劃分,以及跨協議的損失賠償方案——仍在持續推進之中。
