资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
加密世界危机:深入剖析 Kelp DAO 安全漏洞
上周末,一场严重的网络攻击震撼了去中心化金融领域,关键跨链桥协议 Kelp DAO 成为最新受害者。攻击者成功窃取了 116,500 枚 rsETH,造成高达 2.92 亿美元的巨大损失,成为本年度规模最大的 DeFi 攻击事件。Kelp DAO 在实现区块链间资产转移方面发挥着重要作用,主要服务于以太坊生态项目,并在广泛认可的 LayerZero 框架上运行。
漏洞根源何在?
此次攻击发生于 4 月 18 日,黑客利用了 LayerZero Labs 的去中心化验证网络。通过攻陷两个 RPC 节点,攻击者发动了拒绝服务攻击,发送了一条虚假的跨链消息。由于系统错误地验证了该消息,最终导致未经授权的交易发生。问题的根源在于 Kelp DAO 在 DVN 中采用了单一验证者设置,这构成了关键的安全缺陷。
有信息指出,LayerZero 及其他相关方此前曾向 Kelp DAO 团队提供过关于验证网络多样化的最佳实践指引。尽管收到多次警告,Kelp DAO 仍继续维持着 1/1 的验证节点配置运行。
事件本可避免吗?
根据 LayerZero 的详细报告,单一验证者结构是显而易见的薄弱环节。Kelp DAO 方面回应称,其遵循了 LayerZero 指南中的默认设置,并就配置问题保持着持续沟通。尽管存在风险提示,但由于该配置在早期评估中被列为默认且获得认可,协议仍维持了原有架构。
攻击发生后,Kelp DAO 迅速启动详细调查,立即将黑客钱包列入黑名单并暂停相关智能合约操作。这些措施有效遏制了事态升级,目前正在审慎推进系统功能恢复工作。
对 Aave 协议的连锁冲击
此次事件的影响蔓延至 Aave V3 协议。攻击者将大部分被盗的 rsETH 作为抵押资产,从而获取了 82,650 枚 WETH 和 821 枚 wstETH 的贷款,这可能在 Aave 系统内引发难以控制的债务风险。
针对此次危机,Aave 指出攻击者利用价值约 2.21 亿美元的 rsETH 获取了大额贷款。在 Kelp DAO 未明确损失处理方案的情况下,Aave 分析了两种可能的情形:
若损失由各网络共同分担,可能导致资产贬值 15.12%,产生高达 1.237 亿美元坏账;若仅由 Layer 2 资产承担损失,贬值幅度可能飙升至 73.54%,坏账规模或将达到 2.301 亿美元。
Aave 表示:“最终情景将取决于 Kelp DAO 的清算方案及预言机比率调整。”目前,Aave 拥有 1.81 亿美元资产及社区额外支持,正为各种可能性做准备。
这起事件暴露出 DeFi 系统内部存在的脆弱性,同时凸显了健全安全协议与多元化验证机制的至关重要性。在 Kelp DAO 及相关网络应对事件余波之际,整个行业都需从本次漏洞中汲取关键教训。
