资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Kelp DAO事件:Chainalysis确认攻击来自链下而非智能合约漏洞——一次深刻的安全警示
区块链分析公司Chainalysis发布了一份详细报告,确认近期Kelp DAO跨链桥遭遇的2.92亿美元损失并非由智能合约漏洞导致。实际上,攻击者瞄准的是链下基础设施。这一发现改变了加密社区对此次事件的认知,同时也引发了对区块链之外安全问题的紧迫思考。
Kelp DAO事件:一次价值2.92亿美元的警钟
Kelp DAO事件发生于2025年2月28日。攻击者从该协议的跨链桥中提取了约2.92亿美元。最初的报告曾推测智能合约代码存在漏洞,但Chainalysis的澄清提供了不同的视角。
根据报告,黑客操纵了链下系统。他们诱骗跨链桥在源链资产并未销毁的情况下,发行了rsETH代币。简而言之,攻击者凭空创造了rsETH。这是通过攻破验证跨链交易的后端基础设施实现的。
Chainalysis指出,此次攻击利用了跨链桥的链下中继与验证逻辑中的弱点。这些组件负责在目标链铸造代币前,验证资产是否已被锁定或销毁。黑客绕过了这些检查,从而得以在未提供真实抵押的情况下铸造rsETH。
这次事件突显了加密安全领域的一个日益明显的趋势:链下基础设施正成为主要攻击目标。智能合约经过审计和加固,但连接它们的系统仍然脆弱。此事件尖锐地提醒我们,安全防护必须扩展到协议的所有层面。
链下攻击如何运作
Chainalysis对Kelp DAO事件进行了逐步剖析。攻击并非利用智能合约漏洞,而是针对跨链桥的链下组件。
步骤一:侦查。攻击者研究了跨链桥的链下中继系统,发现了验证过程中的薄弱环节。
步骤二:渗透。黑客获得了链下基础设施的访问权限,很可能利用了服务器或API的某个漏洞。
步骤三:操纵。攻击者提交了虚假的资产销毁证明,链下中继在未进行适当验证的情况下接受了它。
步骤四:铸造。跨链桥在目标链上铸造了10,000枚无实际资产背书的rsETH代币。
步骤五:变现。攻击者将伪造的rsETH兑换为其他资产,随后通过混币器和交易所转移资金。
这一过程揭示了一个关键缺陷:跨链桥完全信任链下中继,未要求对销毁事件进行链上验证。攻击者正是利用了这种信任。
Chainalysis报告:主要发现
Chainalysis报告提供了几项关键见解。首先,智能合约代码并非问题所在,它经过审计且无关键漏洞。其次,链下基础设施缺乏冗余,单一故障点导致了整个攻击。第三,此次攻击手法复杂,需要对跨链桥架构有深入了解。
Chainalysis同时指出,攻击者很可能具备内部知识,了解中继系统的内部逻辑,这表明这是一次针对性攻击而非随机入侵。报告建议协议应对链下操作实施多签验证,并使用密码学证明来验证跨链消息。
报告强调,链下攻击更难被发现,留下的链上痕迹更少。传统安全工具聚焦于智能合约,往往忽略了后端系统的漏洞。此次事件可能会加速对链下安全解决方案的投资。
对加密生态的影响
Kelp DAO事件产生了直接和长期的影响。短期内,协议损失了2.92亿美元,占其锁仓总价值的很大一部分。rsETH持有者面临不确定性,该代币价格急剧下跌,部分去中心化交易所暂停了交易。
Kelp DAO此后已采取恢复措施,包括暂停跨链桥功能并启动安全审查,同时悬赏征集攻击者线索。然而,完全恢复仍不确定,被盗资金可能无法追回。
长期来看,此事件将重塑安全实践。协议将开始严格审查其链下基础设施,实施更强的访问控制,并采用更稳健的验证机制。行业可能会看到跨链桥安全的新标准。
监管机构也正在关注。此事件凸显了跨链桥的风险。这些桥接器对于互操作性至关重要,但也创造了新的攻击面。政策制定者可能会推动更严格的要求,包括对链下系统的强制审计。
给开发者和用户的启示
开发者必须从Kelp DAO事件中吸取教训。仅进行智能合约审计是不够的,链下组件同样需要严格审查,这包括中继服务器、API和验证节点。每个组件都代表着攻击者可能的入口点。
用户也应保持谨慎。他们应研究协议的安全状况,寻找链下审计的证据,并考虑协议对事件的响应能力。在危机中,透明度和速度至关重要。
此事件也强调了去中心化的重要性。中心化的链下组件会创造单一故障点。协议应力求将这些组件去中心化,以降低单一被攻破导致巨大损失的风险。
Kelp DAO事件与其他攻击的对比
Kelp DAO事件并非首例链下攻击,但却是其中损失最严重的一起。先前的事件包括Ronin Bridge攻击和Wormhole事件,两者都涉及链下漏洞。Ronin攻击攻破了验证者密钥,Wormhole事件则针对跨链桥合约。每起事件都提供了独特的教训。
这些案例呈现出一个模式:链下与跨链漏洞普遍存在,且常常导致巨大损失。Kelp DAO事件符合这一模式,同时也凸显了此类攻击的演进特性。攻击者正变得更加复杂,他们瞄准的是链条中最薄弱的环节。
结论
Kelp DAO事件为整个加密行业提供了关键的安全教训。Chainalysis确认2.92亿美元的损失源于链下攻击,而非智能合约漏洞。这一区分至关重要,它迫使协议将视野扩展到区块链之外,必须确保其基础设施的每个组件都得到保护。
此次事件也凸显了对更好验证机制的需求。多签验证和密码学证明可以防止类似攻击。随着行业发展,安全措施也必须进步。Kelp DAO事件提醒我们,没有全面的保护,任何系统都不安全。开发者、用户和监管机构都需引以为鉴。
