在价值2.92亿美元的Kelp DAO攻击后，47%的LayerZero OApps面临风险

在价值2.92亿美元的Kelp DAO攻击后，47%的LayerZero OApps面临风险 - Blockchain.News

2026年4月18日，Kelp DAO遭受的价值2.92亿美元的攻击暴露了LayerZero互操作协议中的一个关键安全漏洞。根据Dune Analytics的一项研究，目前47%的基于LayerZero的跨链应用（OApps）使用相同的1-of-1去中心化验证网络（DVN）配置，该配置导致了此次攻击。这些存在风险的资产总暴露金额超过45亿美元。

攻击事件：问题出在哪里？

Kelp DAO的1-of-1 DVN配置被错误设置，使得一个被攻陷的验证者能够铸造116,500枚未被资产支持的rsETH代币，价值2.92亿美元。这些代币随后作为抵押品在Aave上借出了价值2.3亿美元的资产，将坏账推向了借贷平台。这一漏洞违反了LayerZero推荐的2-of-2 DVN配置，该配置要求多个独立验证者批准跨链消息，从而增加了一层安全保障。

调查人员将此次攻击与朝鲜的Lazarus集团联系起来，这是一个因高调的加密货币盗窃事件而臭名昭著的黑客组织。此次攻击针对的是LayerZero的链下基础设施，通过污染RPC节点，实际上劫持了DVN验证过程。

主要风险资产

Dune Analytics的报告指出，Tether的跨链稳定币USDT0是暴露的45亿美元资产中占比最大的一部分。USDT0在以太坊、Optimism和Base上的部署使用了这种风险较高的1-of-1配置。在总流通供应量40.65亿美元中，USDT0占据了已识别风险的87%。尽管USDT0的大部分跨链活动由2-of-2配置保障，但这些特定合约中的漏洞可能对借贷市场及其他领域产生连锁效应。

其他易受攻击的资产包括Pendle Finance的PENDLE代币（市值2.29亿美元）和Aethir的ATH代币（市值1.17亿美元）。然而，这些代币被利用的可能性较低，因为它们很少被主要借贷平台接受作为抵押品，这与USDT0不同。

对DeFi的影响

Kelp DAO事件突显了1-of-1 DVN配置带来的系统性风险。行业最佳实践建议在DVN配置中引入冗余和多样性，以防止单点故障。尽管LayerZero公开敦促OApp开发者采用更安全的配置，但批评者指出，1-of-1配置是新部署的默认设置，正如Kelp DAO在其反驳声明中提到的那样。

这不仅是一个技术问题，也是一个治理问题。在快速发展的DeFi领域，实施安全配置的责任通常落在各个项目上，而许多项目可能缺乏足够的专业知识或资源来有效完成这一任务。结果是，一个片段化的生态系统，其关键基础设施的安全性往往取决于最薄弱的环节。

前进的道路

令人鼓舞的是，Kelp DAO遭受攻击后促使行业快速采取行动。在几天内，LayerZero废弃了受损的RPC节点，并宣布一项政策，停止为使用1-of-1配置的应用签署消息。USDT0也暂停了其桥接基础设施，显示出行业的积极响应。

重要的是，修复这些漏洞并不需要彻底的协议改造。OApp所有者可以直接更新DVN配置，使这个问题具有可解决性。例如，Wrapped Bitcoin（wBTC）已经宣布将从1-of-1 DVN配置过渡开来，计划在2026年4月26日之前完成升级。

交易者应该关注什么

对于投资者来说，关键的结论很明确：关注您所持资产的安全配置，特别是那些部署在LayerZero上的资产。在DVN配置更新之前，USDT0等代币仍然是高风险的。任何针对这些资产的攻击可能会波及借贷平台和更广泛的DeFi生态系统，潜在地影响流动性和市场稳定性。

Kelp DAO攻击是一个明确的提醒，在加密领域，没有强大的安全保障的去中心化只会酿成灾难。项目和投资者都必须优先考虑安全配置，以保护DeFi的未来。

Image source: Shutterstock