LayerZero称Kelp配置缺陷致2.9亿美元被盗,Aave面临巨额坏账风险
互操作性协议LayerZero于2026年4月20日表示,Kelp DAO因采用单一去中心化验证网络(DVN)配置,导致黑客在周六盗取约116,500枚Restaked ETH(rsETH),价值约2.92亿至2.93亿美元。LayerZero称,该事件源于Kelp的配置缺陷,而非其自身系统漏洞。
LayerZero在声明中指出,Kelp的rsETH桥接系统仅依赖LayerZero Labs DVN作为唯一验证路径,尽管LayerZero此前已建议其采用多DVN架构。“LayerZero和外部方曾向KelpDAO传达DVN多样化最佳实践,但KelpDAO仍选择1/1 DVN配置。”
此次攻击导致资金被用于在Aave平台借贷,引发Aave总锁仓价值(TVL)下降约89亿美元,至175亿美元,同时产生约1.95亿美元坏账,引发用户大规模提现。
Aave已立即冻结其v3和v4版本中所有rsETH,防止进一步损失。Aave官方表示其智能合约未被直接攻击。
目前,各方就损失承担展开争论。OneKey创始人王易仕建议与黑客谈判,提供10%-15%赏金以追回资金,若失败则应由LayerZero生态基金承担主要损失。DeFiLlama创始人0xngmi提出三种方案:全社会分摊损失、对L2上的rsETH持有人“跑路”或恢复至攻击前快照,但后者实施难度极高。
LayerZero已敦促所有使用单DVN配置的应用迁移至多DVN架构,并将停止为仍保留单验证器设计的应用签名或认证消息。
分析师MoneySupply警告称,当前Aave平台ETH流动性紧张,在市场利用率达100%的情况下,ETH价格下跌15%-20%可能引发大量坏账积累。
编辑点评
此次Kelp DAO遭黑客攻击事件凸显了去中心化金融(DeFi)生态中配置安全与责任划分的深层矛盾。尽管LayerZero强调事件源于Kelp的单一DVN配置,而非其协议本身漏洞,但作为基础设施提供方,LayerZero在安全责任边界上的立场将直接影响其生态信任度。该事件对Aave构成系统性冲击,不仅导致TVL骤降,更暴露了跨链资产在借贷协议中的潜在清算风险。全球加密货币市场对DeFi基础设施的监管与审计标准或将因此加速演进,尤其是在跨链桥、智能合约验证机制等关键环节。长远来看,此次事件可能推动行业建立更明确的‘安全责任模型’,并促使协议方在设计中强制采用多验证路径,以降低单点故障风险。同时,黑客是否为朝鲜关联团伙的初步指向,也为国际金融安全增添地缘政治维度,可能引发各国对加密货币资金流动的进一步审查。