Kelp DAO 声称 LayerZero 的“默认”设置才是导致 2.9 亿美元巨额灾难的真正原因

📄完整原文· 由 trafilatura 自动抓取Gemini 翻譯6350 字

Kelp DAO 声称 LayerZero 的"默认"设置才是真正导致这场 2.9 亿美元巨灾的原因这家流动性再质押协议表示，被攻破的验证器是 LayerZero 自家的基础设施，而被指责使用的设置正是 LayerZero 的上线默认配置。要点速览： - Kelp DAO 正在反驳 LayerZero 关于 2.9 亿美元 rsETH 桥攻击事件的说法，声称被攻破的单一验证器配置依赖的是 LayerZero 自家的基础设施和默认设置，而非其在违背建议下自行选择的非常规配置。 - 部分安全研究人员表示，LayerZero 的公开文档和部署代码在各主要链上推广单一来源验证，这削弱了该公司关于 Kelp 无视建议、未采用多验证器冗余的说法。 - Kelp 声称攻击仅限于由 LayerZero 提供支持的桥，并未波及其核心再质押合约，而 LayerZero 则回应称将不再为任何使用单一验证器配置的应用签署消息，迫使生态进行大规模迁移。那张三个一模一样的 Spiderman 互相指责的著名表情包，今天在加密圈迎来了它的高光时刻。据一位熟悉内情的 L2 消息人士向 CoinDesk 透露，Kelp DAO 准备反击 LayerZero 对周日 2.9 亿美元攻击事件的事后分析报告，该报告基本上把责任推到了 Kelp 身上。Kelp 计划反驳这家跨链消息公司声称其无视多次警告、未从单一验证器配置迁移的说法。CoinDesk 已审阅并核实 Kelp 计划发布的备忘录。 Kelp 是一个流动性再质押协议，它接收用户存入的 ether，通过名为 EigenLayer 的收益生成系统进行路由，并发行收据代币 rsETH 作为交换凭证。 LayerZero 是在区块链之间转移 rsETH 的跨链消息基础设施，它使用称为 DVN（去中心化验证器网络）的实体来验证跨链转账是否有效。周六，攻击者通过污染 LayerZero 验证器用于核查交易的服务器，从 Kelp 由 LayerZero 支持的桥中盗取了 116,500 枚 rsETH，价值约 2.9 亿美元。该消息人士称，Kelp 计划指出，通过其所称的"复杂的国家支持型攻击"被攻破的 DVN，是 LayerZero 自家的基础设施，而非第三方验证器。攻击者攻破了 LayerZero 自家用于检查跨链交易合法性的两台服务器，然后用垃圾流量淹没备份服务器，迫使 LayerZero 的验证器转向被攻破的那些服务器。消息人士声称，所有这些基础设施都是由 LayerZero 而非 Kelp 构建和运行的。该消息人士对 LayerZero 将"1/1 配置"定性为违背建议而做出的非主流选择提出异议。LayerZero 的事后分析称，KelpDAO 在被建议配置多 DVN 冗余的情况下，仍选择了 1-of-1 的 DVN 配置。 "1/1 配置"意味着只需一个验证者签署跨链消息，桥便会执行该消息，使系统没有第二道检查来捕捉被攻破或伪造的指令。多验证者配置（如 2/3、3/5 等）则确保不存在单点故障，无法仅凭单方批准伪造消息。他们补充说，通过自 2024 年 7 月以来一直开通的与 LayerZero 的直接沟通渠道，LayerZero 并未提出任何具体建议要求 Kelp 更改 rsETH 的 DVN 配置。该消息人士告诉 CoinDesk，LayerZero 自家的快速入门指南和默认的 GitHub 配置都指向 1/1 DVN 配置，并补充说，目前 LayerZero 上 40% 的协议正在使用相同的配置。 Kelp 所运行的配置也出现在 LayerZero 自家的 V2 OApp Quickstart 中，其中示例 layerzero.config.ts 为每条路径配置了一个必需 DVN、无可选 DVN。这正是相同的 1/1 结构。他们补充说，Kelp 的核心再质押合约未受影响，攻击被隔离在桥层。在被盗 46 分钟后启动的紧急暂停，阻止了两次后续尝试，否则将再释放约 2 亿美元的 rsETH。 CoinDesk 就此事向 LayerZero 寻求置评，但截至发稿时未收到回复。 "推卸责任" 安全研究人员同样不买 LayerZero 那套将责任归咎于 Kelp 的孤立化叙事。 Kelp 是一个流动性再质押协议。其核心能力在于质押基础设施、EigenLayer 集成以及流动性质押代币管理。消息人士声称，在与 LayerZero 集成时，Kelp 依赖于 LayerZero 的文档、其默认设置以及其团队的指导来做出配置决策。 Yearn Finance 核心团队开发者 Artem K（在 X 上以 @banteg 广为人知）发布了对 LayerZero 公开部署代码的技术评审，并表示其参考配置在每条主要链（包括 Ethereum、BSC、Polygon、Arbitrum 和 Optimism）上都附带单一来源验证的默认设置。该部署还暴露了一个公共端点，任何查询者都能从中获取已配置服务器的列表。 Banteg 在其分析中指出，他无法证明 Kelp 使用的是哪种配置，但注意到 LayerZero 通常会要求新接入方使用其默认配置，而这正是其事后分析所批评的对象。 Chainlink 社区经理 Zach Rynes 在 X 上直言不讳，指控 LayerZero 在为自家被攻破的基础设施"推卸责任"，并指责该公司因 Kelp 信任了 LayerZero 自己支持的配置就把 Kelp 推下车。因此，LayerZero 表示将不再为任何运行单一验证器配置的应用签署消息，迫使全协议范围的迁移。延伸阅读：'DeFi is dead'：今年最大黑客事件暴露蔓延风险，加密社区紧急应对更多推荐 LayerZero 表示，攻击者攻破了该公司验证器所依赖的两个 RPC 节点，并对其余节点发起 DDoS 攻击，而该攻击得以成功，仅是因为 Kelp 无视了多验证器建议。要点速览： - LayerZero 将这起 2.9 亿美元的 Kelp DAO 攻击事件归咎于 Kelp 决定使用单一验证器配置，尽管此前已被警告应采用多验证器配置。 - 攻击者被 LayerZero 初步关联到 North Korea 的 Lazarus Group，他们攻破了两个 RPC 节点并使用 DDoS 攻击强制故障转移，欺骗 LayerZero 的验证器进入……

数据状态✓ 已抓取全文阅读原文（CoinDesk）

🔍历史类似事件· 关键词 + 标的比对6 则

2026-04-27

由 Aave 牽頭的「DeFi United」救援行動籌集了 3 億美元，用於彌補 Kelp DAO 的漏洞損失

相似度 180%關鍵字 kelp/dao/million

2026-04-26

Aave 筹集了近 80% 的资金，以弥补 Kelp DAO 漏洞利用留下的 2 亿美元坏账

相似度 180%關鍵字 kelp/dao/million

2026-04-22

The Protocol：Kelp DAO 遭駭損失 2.92 億美元

相似度 180%關鍵字 kelp/dao/million

2026-04-22

Kelp DAO 遭到的 2.92 亿美元攻击事件表明，为什么 crypto bridges 仍然是该行业最薄弱的环节之一

相似度 180%關鍵字 kelp/dao/million

2026-04-21

2.9 億美元竊案誰扛責？Kelp DAO 甩鍋嗆：LayerZero「預設配置」害的

相似度 180%關鍵字 layerzero/dao/kelp

2026-04-21

Arbitrum 冻结了与 Kelp DAO 漏洞利用相关的 7100 万美元 ETH

相似度 180%關鍵字 kelp/dao/million

💡 目前用关键词 + 标的比对（MVP）· 之后会升级为 embedding 语义搜寻

原始信息

ID：56bedac466

来源：CoinDesk

发布：2026-04-20 13:41:02

分类：一般 · 导出分类 neutral

标的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言