Kelp DAO 聲稱 LayerZero 的「預設」設定才是導致這場 2.9 億美元重大災難的真正原因

📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯6350 字

Kelp DAO 聲稱 LayerZero 的「預設」設定才是造成這場 2.9 億美元巨災的真正原因這個流動性再質押協議表示，遭入侵的驗證者其實就是 LayerZero 自家的基礎設施，而它被指責採用的設定，正是 LayerZero 上線時的預設配置。重點摘要： - Kelp DAO 對 LayerZero 關於 2.9 億美元 rsETH 跨鏈橋漏洞事件的說法提出異議，主張遭到入侵的單一驗證者架構，所依賴的是 LayerZero 自家的基礎設施與預設值，而非它無視建議所選擇的特殊配置。 - 部分資安研究人員指出，LayerZero 的公開文件與部署程式碼，在各大主要鏈上都推廣單一來源驗證，這削弱了該公司聲稱 Kelp 忽視其建議、未採用多驗證者冗餘架構的說法。 - Kelp 主張這次攻擊僅限於由 LayerZero 提供支援的跨鏈橋，並未影響其核心再質押合約；LayerZero 則回應將不再為任何採用單一驗證者架構的應用簽署訊息，強迫整體進行大規模遷移。今天，那張三個一模一樣的 Spiderman 互相指責對方的迷因，迎來了它的加密貨幣時刻。一位熟悉內情的 L2 消息人士告訴 CoinDesk，Kelp DAO 即將反擊 LayerZero 對於週日 2.9 億美元漏洞事件的事後檢討報告，因為該報告基本上把責任推給了 Kelp。Kelp 計劃對這家跨鏈訊息傳遞公司的說法提出異議——LayerZero 聲稱 Kelp 多次忽視警告，未從單一驗證者架構轉換出來。CoinDesk 已審閱並驗證了 Kelp 計劃發布的備忘錄。 Kelp 是一個流動性再質押協議，它接收使用者存入的 ether，透過名為 EigenLayer 的收益生成系統進行路由，並發行收據代幣 rsETH 作為交換。 LayerZero 是負責在區塊鏈之間搬移 rsETH 的跨鏈訊息傳遞基礎設施，使用名為 DVN（去中心化驗證者網路）的實體來驗證跨鏈轉帳是否合法。週六，攻擊者透過污染 LayerZero 驗證者用來檢查交易的伺服器，從 Kelp 由 LayerZero 提供支援的跨鏈橋中盜走了 116,500 顆 rsETH，價值約 2.9 億美元。該消息人士表示，Kelp 計劃聲明：透過其所稱的「複雜國家級攻擊」遭入侵的 DVN 是 LayerZero 自家的基礎設施，而非第三方驗證者。攻擊者入侵了 LayerZero 自家用來檢查跨鏈交易合法性的兩台伺服器，然後對備援伺服器發動垃圾流量攻擊，迫使 LayerZero 的驗證者轉而使用已遭入侵的伺服器。該消息人士聲稱，所有這些基礎設施都是由 LayerZero 建置與運營，並非 Kelp。該消息人士反駁了 LayerZero 把「1/1 配置」描繪成違背建議的邊緣選擇之說法。LayerZero 的事後檢討報告指出，KelpDAO 在收到配置多 DVN 冗餘的建議下，仍選擇了 1-of-1 DVN 架構。所謂「1/1 配置」是指只需要單一驗證者對跨鏈訊息簽名，跨鏈橋就會執行該訊息，這讓系統缺乏第二道檢查，無法攔截被入侵或偽造的指令。多驗證者配置（例如 2/3、3/5 等）則確保不存在能夠單獨核准偽造訊息的單一故障點。他們補充說，自 2024 年 7 月以來，他們透過與 LayerZero 的直接溝通管道，從未收到過任何具體建議要求 Kelp 變更 rsETH 的 DVN 配置。該消息人士告訴 CoinDesk，LayerZero 自家的快速入門指南與 GitHub 預設配置，指向的就是 1/1 DVN 架構，並補充指出目前 LayerZero 上有 40% 的協議都採用相同的配置。 Kelp 所採用的配置，也出現在 LayerZero 自家的 V2 OApp Quickstart 中，其範例 layerzero.config.ts 為每條路徑配置一個必要 DVN，且沒有可選 DVN，這正是相同的 1/1 結構。他們補充說，Kelp 的核心再質押合約並未受影響，漏洞被隔離在跨鏈橋層。在資金被盜 46 分鐘後啟動的緊急暫停，阻擋了另外兩次後續攻擊嘗試，這些嘗試本可額外釋出約 2 億美元的 rsETH。 CoinDesk 已就此事聯繫 LayerZero 請求評論，截至發稿前尚未獲得回覆。「推卸責任」資安研究人員同樣不買單 LayerZero 將責任歸咎於 Kelp 的孤立論述。 Kelp 是一個流動性再質押協議，其核心專長在於質押基礎設施、EigenLayer 整合，以及流動性質押代幣管理。該消息人士主張，在與 LayerZero 整合時，Kelp 是依賴 LayerZero 的文件、預設值以及其團隊的指引來做出配置決策。 Yearn Finance 核心團隊開發者 Artem K，在 X 上以 @banteg 為人熟知，他發布了一份對 LayerZero 公開部署程式碼的技術審閱，並指出該參考架構在每條主要鏈上——包括 Ethereum、BSC、Polygon、Arbitrum 與 Optimism——出貨時皆採用單一來源驗證的預設值。該部署也讓一個公開端點暴露在外，任何查詢者都能取得已配置伺服器的清單。 Banteg 在分析中指出，他無法證明 Kelp 實際使用的是哪一種配置，但他指出 LayerZero 通常會要求新運營商採用其預設架構，而這正是其事後檢討報告所批評的。 Chainlink 社群經理 Zach Rynes 在 X 上直言不諱，指控 LayerZero 是在「推卸責任」，把自家被入侵基礎設施的責任轉嫁出去，並指責該公司因為 Kelp 信任了 LayerZero 自己支持的架構，反而把 Kelp 推出來當替罪羊。因此，LayerZero 表示將不再為任何採用單一驗證者架構的應用簽署訊息，強迫全協議進行遷移。延伸閱讀：「DeFi 已死」：今年最大駭客事件曝露傳染風險，加密社群陷入慌亂更多推薦 LayerZero 表示，攻擊者入侵了該公司驗證者所依賴的兩個 RPC 節點，並對其餘節點發動 DDoS 攻擊，這次攻擊之所以得逞，是因為 Kelp 忽視了多驗證者建議。重點摘要： - LayerZero 將這場 2.9 億美元的 Kelp DAO 漏洞事件歸咎於 Kelp 決定採用單一驗證者配置，儘管事前已有警告要求採用多驗證者架構。 - LayerZero 初步將攻擊者與北韓的 Lazarus Group 連結，指出攻擊者入侵了兩個 RPC 節點，並利用 DDoS 攻擊強制故障切換，誘騙 LayerZero 的驗證者轉而⋯⋯

資料狀態✓ 已擷取全文閱讀原文（CoinDesk）

🔍歷史類似事件· 關鍵字 + 標的比對6 則

2026-04-27

由 Aave 領軍的「DeFi United」救援行動籌集了 3 億美元，以彌補 Kelp DAO 漏洞攻擊造成的損失

相似度 180%關鍵字 kelp/dao/million

2026-04-26

Aave 已籌集近 80% 的資金，以填補 Kelp DAO 漏洞所造成的 2 億美元壞帳。

相似度 180%關鍵字 kelp/dao/million

2026-04-22

The Protocol：Kelp DAO 遭駭損失 2.92 億美元

相似度 180%關鍵字 kelp/dao/million

2026-04-22

Kelp DAO 遭駭 2.92 億美元一事顯示，為何 crypto bridges 仍是該產業最脆弱的環節之一

相似度 180%關鍵字 kelp/dao/million

2026-04-21

2.9 億美元竊案誰扛責？Kelp DAO 甩鍋嗆：LayerZero「預設配置」害的

相似度 180%關鍵字 layerzero/dao/kelp

2026-04-21

Arbitrum 凍結了與 Kelp DAO 漏洞攻擊相關的 7100 萬美元 ETH

相似度 180%關鍵字 kelp/dao/million

💡 目前用關鍵字 + 標的比對（MVP）· 之後會升級為 embedding 語意搜尋

原始資訊

ID：56bedac466

來源：CoinDesk

發佈：2026-04-20 13:41:02

分類：一般 · 導出分類 neutral

標的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言