2026年DeFi领域代价最高的责任推诿战今天正式打响。4月20日,LayerZero发布了针对Kelp DAO 2.92亿美元黑客攻击事件的官方事后分析报告,归因指向极为严重:Lazarus Group,具体为其子组织TraderTraitor——正是2025年对Bybit发动14亿美元攻击的同一朝鲜网络犯罪团伙。然而在报告中,LayerZero将技术责任归咎于Kelp。数小时后,KelpDAO全面反驳。
LayerZero
Lazarus在18天内两度出击
整体损失触目惊心。4月1日,Solana链上的Drift Protocol被盗2.85亿美元;4月18日,Ethereum链上的Kelp DAO被盗2.92亿美元。同一支朝鲜黑客小组在不足三周内,通过截然不同的攻击手段,合计卷走超过5.75亿美元。
- Drift:针对Security Council多签持有人实施社会工程学攻击,并伪造CVT代币
- Kelp:入侵LayerZero的两个RPC节点,同时对备用节点发动DDoS攻击,强制触发故障切换
- 据Elliptic统计,TraderTraitor已被归因于2026年以来的18起攻击,是当前DeFi生态中最危险的威胁主体
关于Drift事件的完整复盘,请参阅我们的加密货币黑暗一周深度报告。
LayerZero与Kelp:究竟谁应负责?
争议核心在于1/1 DVN配置——仅由单一验证者授权跨链消息,不设冗余。LayerZero声称曾多次建议Kelp采用多DVN方案;Kelp则反驳称,该1/1配置正是LayerZero的GitHub默认设置,目前已有40%的协议在其基础设施上沿用这一配置。
初步迹象显示此事件可归因于Lazarus Group,更具体而言是TraderTraitor — LayerZero
We're fully aware of the rsETH exploit and have been in active remediation with the @KelpDAO team since the incident and continue to monitor. All other applications remain safe.
— LayerZero (@LayerZero_Core) April 19, 2026
We are still identifying the root cause alongside @_SEAL_Org and others. We will publish a complete…
Chainlink社区联络人Zach Rynes率先在X平台发声:LayerZero正在回避其自身DVN基础设施遭受攻击的责任。Yearn Finance的banteg随后从技术层面予以证实——他对LayerZero的公开部署进行了审查,发现其参考配置在以太坊、BSC、Polygon、Arbitrum及Optimism上默认采用单源验证机制。
47%的LayerZero应用仍存在安全漏洞
Dune Analytics今日发布的数据揭示了事件背后的关键真相。在过去90天内分析的2,665个活跃OApp中,47%仍以1-of-1安全阈值运行。LayerZero已宣布将停止为任何采用1/1配置的应用签署消息,数百个项目将在未来数周内被迫迁移。
- DeFi TVL:48小时内从995亿美元骤降至863亿美元(-132亿美元)
- Aave:存款流出845亿美元,ETH/USDT/USDC市场利用率达100%
- 受影响代币:AAVE -22%、ZRO -22%、LDO -19%、ENA -13%、COMP -10%
整个生态系统正在追问的核心问题
若47%的LayerZero跨链桥仍沿用同样脆弱的配置,还需要多少次2.92亿美元的损失,才能让跨链DeFi认真重审其单点故障风险?可组合性是DeFi的超级能力,但当单一环节崩溃——无论是RPC、DVN还是多签——每一个相连的协议都会成为多米诺骨牌。要了解如何在这种场景下保护自身资产,请参阅我们的Web3指南,这是最佳起点。
