2026年去中心化金融攻擊的新前沿
Abdul Razzaq2026-05-05
如果你認為你的DeFi資產因智能合約經過審計就安全,那就大錯特錯了。價值2.93億美元的KelpDAO駭客事件並非攻破了程式碼,而是攻陷了橋接。以下是最資深駭客的手法。
價值2.93億美元的DeFi攻擊暴露了隱藏的弱點
2026年4月18日,去中心化金融(DeFi)生態系統遭遇了當年最嚴重的安全漏洞之一。在一場高度協調的攻擊中,價值約2.9億至2.93億美元的資產,約116,500顆rsETH,從KelpDAO的橋接基礎設施中被盜取。
乍看之下,這似乎與過去的DeFi攻擊事件類似。但這次事件因一個關鍵原因而不同:它並非由智能合約邏輯中的缺陷引起。相反,它暴露了一個更深層、更令人擔憂的漏洞——許多協議默默依賴的鏈下基礎設施的脆弱性。這一區別至關重要。因為智能合約隨著時間的推移變得更加安全,但圍繞它們的系統正成為主要的攻擊面。
KelpDAO是什麼?
KelpDAO是一個主要建立在以太坊上的流動性再質押協議,旨在提高參與質押生態系統的用戶的資本效率。透過與EigenLayer等再質押框架的整合,KelpDAO允許用戶再質押ETH並獲得流動性衍生代幣rsETH。該代幣隨後可以在DeFi中用於借貸、抵押或交易,有效地讓用戶在保持流動性的同時賺取收益。
到2026年初,rsETH已在再質押領域中發展成為一項重要資產,並深入整合到多個DeFi協議中。此次擴張的關鍵部分依賴於跨鏈功能,由LayerZero等基礎設施提供支援。然而,這種依賴卻成為該協議最薄弱的環節。
攻擊時間線
這次攻擊迅速展開,突顯了現代攻擊升級的速度之快。世界協調時間17:35 (UTC),攻擊者透過提交偽造的跨鏈訊息啟動了攻擊序列。該訊息錯誤地表明大量rsETH已在Unichain(與Uniswap相關的L2環境)上被銷毀。由於系統配置為單一驗證者設置,該訊息未經足夠的冗餘檢查就被接受。這觸發了約116,500顆rsETH從基於以太坊的託管合約中釋放到攻擊者控制的錢包。
幾分鐘內,資金便不翼而飛。大約46分鐘後,KelpDAO的緊急多重簽名錢包介入,暫停了該協議。隨後兩次嘗試盜取價值約2億美元的80,000顆rsETH的行為因應對及時而成功阻止。儘管部分損失得到控制,但主要損害已經造成。
攻擊原理
這次攻擊特別重要之處在於其方法。攻擊者並非利用智能合約代碼中的錯誤,而是針對驗證跨鏈通訊的基礎設施層。攻擊涉及多個協調步驟:
- 首先,LayerZero驗證者網路使用的RPC節點遭到入侵或操縱。這讓攻擊者得以控制驗證數據的解釋方式。
- 其次,針對合法節點發起了分散式阻斷服務(DDoS)攻擊。這迫使系統依賴備用節點,其中一些受攻擊者影響。在取得控制權後,攻擊者生成了一條在系統信任模型中看似有效的偽造訊息。
- 最後,由於KelpDAO的1-of-1驗證者配置,單一批准就足以授權資金的釋放。
這種配置選擇可能是為了降低延遲和成本,但卻消除了冗餘。而在安全系統中,缺乏冗餘通常等同於單點故障。
歸因:Lazarus Group的角色
包括LayerZero和Chainalysis在內的安全公司,高度確信地將此次攻擊歸因於Lazarus Group,一個與北韓有關的國家級駭客組織。更具體地說,名為「TraderTraitor」的子團體被認為是幕後黑手。
這並非單一事件。同月,Lazarus還被指出與以下事件有關:
- 導致約2.85億美元損失的Drift協議攻擊事件
- 針對Hyperbridge的較小但相關的攻擊
值得注意的是其模式。這些並非利用簡單漏洞的機會主義攻擊。它們是長期、有針對性的行動,通常涉及數月的準備和多種攻擊媒介。焦點已明顯轉向高價值基礎設施:橋接器、再質押系統和跨鏈協議。
對DeFi生態系統的立即影響
攻擊的後果是立即且廣泛的。rsETH代幣迅速脫鉤,引發借貸平台的不穩定。Aave等協議迅速採取行動,凍結或限制rsETH作為抵押品,以防止進一步的系統性風險。這種反應雖然必要,卻導致了更廣泛的流動性衝擊。
數日內,超過130億美元的總價值從DeFi平台撤出,這是近年來觀察到的最快的資金外流之一。該事件凸顯了一個關鍵事實:現代DeFi高度互聯。一個組件的故障(尤其是橋接器)可能在多個系統中產生連鎖反應,同時影響流動性、抵押品穩定性和用戶信心。
給協議和用戶的教訓
KelpDAO攻擊事件為業界提供了幾個重要的教訓。
- 首先,冗餘不再是可選項。依賴單一驗證者或簡化信任模型的系統本身就容易受到攻擊。多驗證者配置和去中心化驗證機制應被視為基本要求。
- 其次,安全性必須超越智能合約。鏈下基礎設施(RPC節點、預言機和驗證層)必須像鏈上代碼一樣受到同等程度的審查。
- 第三,應對機制至關重要。儘管KelpDAO遭受了重大損失,但其快速暫停機制阻止了額外的損害。這證明了擁有明確的緊急控制措施的價值。
- 對於用戶來說,教訓同樣明確。過度暴露於單一資產或協議(尤其是依賴複雜基礎設施的協議)可能會放大風險。多元化和對底層機制的認識至關重要。
DeFi安全的一個轉折點
這次攻擊,加上2026年其他備受矚目的攻擊事件,預示著DeFi處理安全問題的方式必須發生轉變。業界在智能合約審計和形式化驗證方面已取得顯著進展。但攻擊者也已適應。他們現在針對的是區塊鏈本身之外的層次——那些實現可擴展性的介面、通訊管道和信任假設。這種演變需要思維模式的相應轉變。安全不能再被視為部署前完成的清單項目。它必須整合到系統的每一層,持續測試,並在考慮對抗性條件的情況下進行設計。認識到這一轉變並相應投入的協議,將在日益惡劣的環境中更好地維護用戶信任。
結論
價值2.93億美元的KelpDAO攻擊事件不僅僅是DeFi駭客攻擊列表中的又一個條目。它是關於現代攻擊如何演變以及下一個漏洞可能出現在哪裡的案例研究。核心問題不是合約破損,而是脆弱的連接。隨著DeFi的不斷擴展和互聯,這些連接既成為其最大的優勢,也成為其最大的風險。教訓很明確:速度和效率不能以犧牲彈性為代價。因為在當今環境中,最危險的漏洞不一定總能在代碼中看到,它們存在於代碼背後的假設中。
免責聲明
本文僅供參考和教育目的。它不構成財務、投資或交易建議。加密貨幣和DeFi涉及重大的損失風險。請務必自行研究並謹慎行事。
