FFeel.Trading
要聞列表Kelp DAO 遭駭 2.92 億美元一事顯示,為何 crypto bridges 仍是該產業最脆弱的環節之一
CoinDesk2026-04-22 15:01:30

Kelp DAO 遭駭 2.92 億美元一事顯示,為何 crypto bridges 仍是該產業最脆弱的環節之一

ORIGINALThe $292 million Kelp DAO exploit shows why crypto bridges are still one of the industry's weakest links
AI 影響分析Grok 分析中...
📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯6416 字
2.92 億美元的 Kelp DAO 漏洞攻擊事件顯示,為何加密貨幣跨鏈橋至今仍是業界最脆弱的環節之一 這是結構性問題,只要跨鏈橋仍依賴具備共享基礎設施與隱性信任假設的複雜系統,它們就會持續存在弱點。 重點摘要: - 像 2.92 億美元 Kelp DAO 漏洞這類加密貨幣跨鏈橋駭客事件不斷發生,是因為跨鏈橋依賴受信任的中介者與外部資料來源,而非完整驗證區塊鏈活動,這為攻擊者創造了輕易操弄的機會。 - 這是結構性問題,而不只是程式錯誤或失誤;只要跨鏈橋仍依賴具備共享基礎設施與隱性信任假設的複雜系統,它們就會持續存在弱點。 與 KelpDAO 相關的 2.92 億美元漏洞攻擊,是長串加密貨幣跨鏈橋駭客事件中最新的一起,凸顯出原本設計來連接區塊鏈的系統,反而成為攻破它們最容易的途徑。 事件涉及 KelpDAO 對 LayerZero 跨鏈訊息系統的使用,這是一種被廣泛用於在區塊鏈之間傳遞資料與資產的基礎設施。 跨鏈橋的目的是讓使用者能將資產從一條區塊鏈移轉到另一條,例如從 Ethereum 移到不同的網路。但它們並未成為無縫的連接器,反而一再變成弱點,過去幾年已導致數十億美元流失。 那麼為什麼這類事件不斷發生? 加密生態系的領導者表示,答案不只是程式碼不良或粗心大意。問題更為根本,在於跨鏈橋一開始的建構方式。 核心問題:信任中間人 要理解這個議題,先看看跨鏈橋實際做了什麼會有幫助。 當你把代幣從一條區塊鏈轉移到另一條時,第二條鏈需要證據來證明你的代幣確實存在,並已在第一條鏈上被鎖定。在理想世界中,它會自行驗證這件事;但在現實中,這樣做太昂貴也太複雜。 「大多數跨鏈橋並不會完整驗證另一條鏈上發生了什麼事,」Espresso Systems 執行長 Ben Fisch 說。「它們改而依靠一個較小的系統來回報,那個(第二個)系統就成為你所信任的對象。」 因此,跨鏈橋並非獨立查證真相,而是把這項工作外包出去,通常是交給小型的驗證者群組,或是 LayerZero、Axelar 等外部網路。這種捷徑會帶來風險。在 Kelp DAO 相關的漏洞攻擊中,攻擊者鎖定的就是輸入跨鏈橋的資料。 「攻擊者攻陷節點,向系統餵入扭曲的現實版本,」Fisch 說。「跨鏈橋按照設計運作,只是它相信了錯誤的資訊。」 跨鏈橋駭客事件表面上往往各有不同。有的牽涉到金鑰被盜,有的則是智能合約有缺陷。但專家表示,這些都是更深層問題的徵狀。真正的問題在於系統的設計方式。 「凡是會出錯的事都會出錯,跨鏈橋駭客事件就是最佳例證,」1inch 共同創辦人 Sergej Kunz 說。「你會看到程式碼漏洞、中心化問題、社交工程,甚至經濟攻擊。通常是混合在一起發生。」 跨鏈橋如何運作 對使用者來說,跨鏈橋看起來很簡單。你按下按鈕,就能把資產從一條區塊鏈移到另一條。但幕後流程要複雜得多。 首先,你的代幣會在原始區塊鏈上被鎖定。接著由一個獨立系統確認代幣已被鎖定,這個系統通常由一小群操作者或驗證者組成。然後這些操作者會向第二條區塊鏈發送訊息,告訴它代幣已被鎖定,因此可以發行新的代幣。如果該訊息被接受,第二條鏈就會建立你代幣的新版本。這些就是包裝代幣,例如 rsETH 或 WBTC。 問題在於,這個流程必須信任發送該訊息的人。如果攻擊者攻陷該系統,他們就能發送虛假訊息,憑空鑄造出原始鏈上從未有過抵押的代幣。 「最糟的情況是,這個系統其實根本沒在查證任何事,」Fisch 說。「它只是相信別人講的版本而已。」 當單一失誤蔓延開來 既然跨鏈橋這麼常出問題,為什麼業界遲遲未能修補? 部分答案來自誘因。「安全往往不是首要任務,」Kunz 說。「團隊把重點放在快速上線、增加用戶以及提高總鎖定價值。」 打造安全的系統需要時間和金錢。許多 DeFi 專案在資源有限下運作,難以大量投資在審計、監控和基礎設施上。 與此同時,專案正競相支援更多區塊鏈。每一次新的整合都會增加複雜度。「每多一個新連結,就多一層假設,」Fisch 說。 跨鏈橋駭客事件鮮少能被侷限在單一範圍。跨鏈資產被廣泛用於借貸協議、流動性池與收益策略中。一旦這些資產遭到攻陷,傷害就會擴散。 「其他平台可能會把被駭的資產視為合法資產,」Kunz 說。「這就是傳染性發生的方式。」使用者通常不會被告知跨鏈橋實際是怎麼運作的,或可能會出什麼問題。 要讓跨鏈橋更安全,是有方法的。Fisch 表示其中一個關鍵步驟,就是透過依賴獨立的資料來源、而非共享基礎設施,來消除單點故障。 實務上,這些「資料來源」就是觀察區塊鏈並回報所發生事件的電腦。它們可能由跨鏈橋本身、由 LayerZero 等外部網路,或由基礎設施供應商來營運。但許多都依賴相同的底層服務,這意味著單一遭攻陷的來源就能將錯誤資料餵入多個系統。 「如果大家依賴的都是同一個來源,你並沒有降低風險,」他說。「你只是把它複製了一份而已。」 其他做法包括硬體層面的防護,以及更好的監控以儘早發現組態錯誤。也有部分開發者正在研究透過密碼學直接驗證資料、而非透過中介者的設計。 Kunz 認為需要更根本的轉變。「只要我們仍依賴以驗證者為基礎的跨鏈橋,這些問題就會持續存在,」他說。 延伸閱讀:北韓的加密貨幣劫掠手冊正在擴張,DeFi 持續遭殃 更多推薦 另外:DPRK 駭加密貨幣、Aave 傳染風險,以及 Coinbase 對量子運算的看法。 重點摘要: 歡迎收看 The Protocol,CoinDesk 每週彙整加密貨幣技術發展中最重要故事的專欄。我是 Margaux Nijkerk,CoinDesk 的記者。 本期內容: - 2026 年最大的加密貨幣漏洞:2.92 億美元自 Kelp DAO 被抽乾,包裝後的 ether 滯留在 20 條鏈上 - 北韓的加密貨幣劫掠手冊正在...
資料狀態✓ 已擷取全文閱讀原文(CoinDesk)
🔍歷史類似事件· 關鍵字 + 標的比對6 則
2026-04-18
2026 年最大的加密貨幣漏洞攻擊:Kelp DAO 遭駭 2.92 億美元,wrapped ether 被困在 20 條鏈上
相似度 280%關鍵字 million/crypto/dao
2026-04-18
2026 年最大的加密貨幣漏洞攻擊:Kelp DAO 被盜走 2.92 億美元,wrapped ether 困在 20 條鏈上
相似度 280%關鍵字 million/crypto/dao
2026-04-27
由 Aave 領軍的「DeFi United」救援行動籌集了 3 億美元,以彌補 Kelp DAO 漏洞攻擊造成的損失
相似度 230%關鍵字 exploit/kelp/dao
2026-04-26
Aave 已籌集近 80% 的資金,以填補 Kelp DAO 漏洞所造成的 2 億美元壞帳。
相似度 230%關鍵字 exploit/kelp/dao
2026-04-21
Arbitrum 凍結了與 Kelp DAO 漏洞攻擊相關的 7100 萬美元 ETH
相似度 230%關鍵字 exploit/kelp/dao
2026-04-20
在 Kelp DAO 橋接漏洞引發 DeFi 混亂後,Aave 可能面臨高達 2.3 億美元的損失
相似度 230%關鍵字 exploit/kelp/dao
💡 目前用關鍵字 + 標的比對(MVP)· 之後會升級為 embedding 語意搜尋
原始資訊
ID:3a40254d1f
來源:CoinDesk
發佈:2026-04-22 15:01:30
分類:一般 · 導出分類 neutral
標的:未指定
社群投票:+0 /0 · ⭐ 0 重要 · 💬 0 留言