#KelpDAOBridgeHacked

去中心化金融生態系見證了迄今為止最嚴重的安全失誤之一。Kelp DAO，一個知名的流動性重質押協議，遭遇了一次毀滅性的攻擊，目標是其 rsETH 跨鏈橋。在幾分鐘內，約有 116,500 rsETH——價值介於 $292 百萬到 $293 百萬之間——被盜，佔該代幣總流通量的近 18%。這起事件現已成為 2026 年記錄中最大的一次 DeFi 黑客事件。

這次漏洞源自 Kelp DAO 的橋接基礎設施，該系統依賴 LayerZero 的跨鏈訊息傳遞系統。具體來說，攻擊者利用了 EndpointV2 合約中的 lzReceive 函數。通過製造並注入一個偽造的跨鏈訊息，攻擊者繞過了驗證檢查。系統被欺騙成認為該訊息是合法的，從而觸發了未經授權的資金釋放到攻擊者控制的錢包中。

令人特別擔憂的是，這次攻擊利用的是標準協議行為，而非複雜的漏洞。分析師認為，過度依賴預設配置和訊息系統中驗證層的不足，扮演了關鍵角色。攻擊者的準備工作也非常有意圖——用於攻擊的錢包在約 10 小時前通過 Tornado Cash 進行資金注入，這是一種常用來模糊交易來源、阻礙追蹤的手法。

跨鏈橋的特性放大了損失。由於 rsETH 在以太坊主網和多個 Layer-2 網絡（如 Arbitrum）上部署，該漏洞迅速在多個生態系統中傳播。這種多鏈暴露大大增加了損失的速度和規模。

Kelp DAO 在發現異常活動後迅速做出反應。團隊立即暫停了主網和多個 Layer-2 環境中的 rsETH 合約，有效防止了進一步的損失，估計超過 $100 百萬。在其初步聲明中，他們確認正與基礎設施合作夥伴、審計員和安全專家合作，進行全面調查。

儘管反應迅速，但後果依然嚴重。這次攻擊引發了 DeFi 市場的恐慌，導致流動性危機。用戶紛紛撤資，形成了連鎖的“銀行擠兌”效應。包括 Aave 在內的主要借貸平台實施了緊急措施，如市場凍結。在短時間內，約有 $9 十億——約佔 Aave 總鎖倉價值的三分之一——被提取，造成估計在 $196 百萬到 $236 百萬之間的壞帳。

其他協議，如 SparkLend、Fluid、Upshift 和 Morpho，也經歷了重大壓力。在更廣泛的生態系統中，總鎖倉價值在 48 小時內下降了約 $8 十億到 $13 十億。震波不僅影響以太坊，還波及其他鏈上的流動性池，包括 Solana。

有猜測認為 Lazarus 集團——一個與北韓相關的網絡犯罪組織，以攻擊加密平台聞名——可能涉入其中。儘管一些鏈上指標暗示可能的聯繫，但尚未有官方確認。

與此同時，攻擊者已開始轉移資金，將部分資金兌換成 ETH，並在不同網絡間移動，以增加追蹤難度。

這次事件再次強化了 DeFi 長久以來的擔憂：跨鏈橋仍是區塊鏈基礎設施中最脆弱的組件之一。雖然它們促進了無縫的互操作性，但也引入了關鍵的攻擊面——尤其是在訊息驗證機制不夠強健的情況下。

Kelp DAO 的漏洞是一個嚴峻的警示。它凸顯了迫切需要改進安全框架，包括多層驗證系統、更嚴格的驗證邏輯和更完善的風險管理措施。在調查持續進行之際，業界正期待 Kelp DAO 的完整事後報告，該報告預計將提供更深入的失敗原因分析，並提出防止類似事件再次發生的措施。
📌 詳情：
https://www.gate.com/announcements/article/50593
‍#GateSquare #CreatorCarnival #ContentMining #Gate13周年