LayerZero指认朝鲜黑客组织Lazarus为KelpDAO跨链桥2.92亿美元被盗案元凶_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

LayerZero指认朝鲜黑客组织Lazarus为KelpDAO跨链桥2.92亿美元被盗案元凶

2026-04-20 20:29:12

漏洞利用事件概述

跨链互操作协议LayerZero于本周一发布初步分析报告称，上周末从KelpDAO跨链桥盗取约2.92亿美元资金的攻击行为“很可能”出自朝鲜黑客组织Lazarus之手，具体由其下属的TraderTraitor小组实施。

攻击过程与影响

攻击者于周六从KelpDAO桥提取了116,500枚rsETH（一种由质押以太坊支持的流动性再质押代币），此举引发去中心化金融领域的连锁提款潮，导致借贷协议Aave流出资金超过100亿美元。LayerZero指出，这次攻击展现出“高度复杂的国家行为体特征，很可能是朝鲜的Lazarus集团”，并特别指明该集团下属的TraderTraitor小组。据Paradigm研究员Samczsun分析，朝鲜的网络行动由侦察总局统筹，其下设有多个独立单位，包括TraderTraitor、AppleJeus、APT38和DangerousPassword等。

在这些分支机构中，TraderTraitor被视为朝鲜针对加密货币领域最精锐的攻击力量，此前曾与Axie Infinity的Ronin桥攻击及WazirX交易所安全事件相关联。

安全机制缺陷分析

LayerZero透露，KelpDAO此前仅采用单一验证器来批准跨链桥的资金转移，并称其曾多次建议项目方改用多验证器方案。该协议表示未来将停止为仍采用此类配置的应用提供消息验证服务。行业观察者指出，此次漏洞暴露出该跨链桥架构过度依赖单一验证器的根本缺陷。

密码学安全公司Sodot联合创始人Shalev Keren对此评论道：“无论宣传如何包装，这本质上都是单点故障。”他进一步解释，只要有一个验证节点被攻破，就足以让资金流出跨链桥，任何审计或安全审查都无法修正这个缺陷，除非“从架构层面彻底消除单向信任机制”。

Grvt区块链负责人Haoze Qiu持相似观点，他认为：“KelpDAO似乎接受了安全冗余度严重不足的跨链桥配置，这对于如此规模的资产而言极为危险。”同时他指出LayerZero也应承担责任，因为“本次攻击涉及与其验证器堆栈相关的基础设施问题，即便这未被界定为核心协议漏洞”。

攻击手法深度解析

据区块链安全公司Cyvers分析，攻击者曾在三分钟内试图再盗取1亿美元资金，后因快速启动的黑名单机制被阻断。该公司首席技术官Meir Dolev向媒体透露，攻击的核心在于欺骗单一通信渠道：攻击者侵入了验证器用于检查Unichain链上提款是否发生的两条通信线路，向这些线路注入虚假的“确认”信号，同时使剩余线路离线，迫使验证器依赖已被入侵的通道。

Dolev用比喻解释道：“金库本身完好，守卫忠诚尽责，门锁机制运行正常。问题在于有人直接向掌管钥匙者耳语了谎言。”尽管为涉事跨链桥提供基础设施的LayerZero将矛头指向Lazarus组织，但Cyvers在其分析报告中未做出相同归因。

Dolev指出，攻击在复杂程度、规模及协同执行方面与朝鲜相关行动存在相似之处，但尚未确认与已知黑产钱包集群的关联。他补充说明，恶意节点软件在攻击完成后已启动自毁程序，清除了二进制文件与日志记录，实现了对攻击痕迹的实时与事后双重掩盖。