复杂网络攻击暴露 Kelp DAO 安全短板
近日披露的 Kelp DAO 遭窃事件细节揭示了攻击手法的复杂性。据分析,疑似与朝鲜有关的 Lazarus 集团,特别是其 TraderTraitor 部门,策划了此次攻击。攻击者瞄准了 Kelp DAO 在 LayerZero 上运行的跨链桥,导致 116,500 枚 rsETH 代币被盗,价值约 2.92 亿美元。这是 2024 年迄今为止规模最大的去中心化金融攻击事件。
漏洞根源何在?
此次攻击暴露了 Kelp DAO 系统中的一个关键漏洞。攻击者从 LayerZero Labs 的验证网络获取了 RPC 节点列表,并成功控制了其中两个节点,从而得以向系统注入虚假信息。与此同时,针对其他活跃节点的分布式拒绝服务攻击迫使系统只能依赖已被攻陷的节点进行验证。
Kelp DAO 依赖单一验证节点的架构意味着,一旦该节点被突破,攻击者便可长驱直入。LayerZero 指出,尽管此前已收到相关风险警示,Kelp DAO 并未对其基础设施进行升级。
其声明强调:“由于缺乏独立的第二验证者,虚假信息轻易被系统接受。LayerZero 团队及外部专家此前均曾建议采用多验证节点设计,但 Kelp DAO 仍坚持其单节点模式。”
LayerZero 保证其他应用未受影响,因为采用多验证节点的应用对此类攻击具备免疫力。目前调查仍在进行中,多方执法机构正协同追踪被盗资金流向。
对 Aave 产生何种影响?
攻击的影响波及 Aave 生态,攻击者将盗取的 rsETH 代币转入 Aave V3,并借出大量 WETH。此举在 Aave 市场中形成了坏账,促使平台冻结了 Aave V3 和 V4 的 rsETH 市场以遏制潜在风险。
Aave 创始人 Stani Kulechov 解释道:“rsETH 目前在 V3 和 V4 上均已冻结,借贷功能已禁用。该事件源于 Kelp DAO 跨链桥的外部攻击。截至目前,Aave 对 rsETH 已无进一步风险敞口。”
此后,Aave 的总锁定价值从 458 亿美元骤降至 357 亿美元,社区负责人 Marc Zeller 建议用户尽快提取 WETH。
作为预防措施,采用 LayerZero 协议的去中心化金融项目已停止与受影响跨链桥的交互。包括 Ethena、ether.fi、TronDAO 和 Curve Finance 在内的主流平台也暂停了相关操作。
据 DeFiLlama 记录,行业总锁定价值在一天内收缩 7%,降至 863 亿美元。
此次事件凸显了去中心化金融基础设施中长期存在的漏洞,行业专家敦促重新评估安全层级。近期接连发生的攻击事件表明,需谨慎权衡潜在收益与固有风险。去中心化金融领域的参与者正寻求风险管理方面的创新进展,这标志着行业正转向构建更稳健的替代系统。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注