Kelp DAO安全事件再分析：Chainalysis确认链下攻击非合约漏洞——关键安全警示_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

Kelp DAO安全事件再分析：Chainalysis确认链下攻击非合约漏洞——关键安全警示

2026-04-24 04:37:30

Kelp DAO事件：Chainalysis确认攻击来自链下而非智能合约漏洞——一次深刻的安全警示

区块链分析公司Chainalysis发布了一份详细报告，确认近期Kelp DAO跨链桥遭遇的2.92亿美元损失并非由智能合约漏洞导致。实际上，攻击者瞄准的是链下基础设施。这一发现改变了加密社区对此次事件的认知，同时也引发了对区块链之外安全问题的紧迫思考。

Kelp DAO事件：一次价值2.92亿美元的警钟

Kelp DAO事件发生于2025年2月28日。攻击者从该协议的跨链桥中提取了约2.92亿美元。最初的报告曾推测智能合约代码存在漏洞，但Chainalysis的澄清提供了不同的视角。

根据报告，黑客操纵了链下系统。他们诱骗跨链桥在源链资产并未销毁的情况下，发行了rsETH代币。简而言之，攻击者凭空创造了rsETH。这是通过攻破验证跨链交易的后端基础设施实现的。

Chainalysis指出，此次攻击利用了跨链桥的链下中继与验证逻辑中的弱点。这些组件负责在目标链铸造代币前，验证资产是否已被锁定或销毁。黑客绕过了这些检查，从而得以在未提供真实抵押的情况下铸造rsETH。

这次事件突显了加密安全领域的一个日益明显的趋势：链下基础设施正成为主要攻击目标。智能合约经过审计和加固，但连接它们的系统仍然脆弱。此事件尖锐地提醒我们，安全防护必须扩展到协议的所有层面。

链下攻击如何运作

Chainalysis对Kelp DAO事件进行了逐步剖析。攻击并非利用智能合约漏洞，而是针对跨链桥的链下组件。

步骤一：侦查。攻击者研究了跨链桥的链下中继系统，发现了验证过程中的薄弱环节。

步骤二：渗透。黑客获得了链下基础设施的访问权限，很可能利用了服务器或API的某个漏洞。

步骤三：操纵。攻击者提交了虚假的资产销毁证明，链下中继在未进行适当验证的情况下接受了它。

步骤四：铸造。跨链桥在目标链上铸造了10,000枚无实际资产背书的rsETH代币。

步骤五：变现。攻击者将伪造的rsETH兑换为其他资产，随后通过混币器和交易所转移资金。

这一过程揭示了一个关键缺陷：跨链桥完全信任链下中继，未要求对销毁事件进行链上验证。攻击者正是利用了这种信任。

Chainalysis报告：主要发现

Chainalysis报告提供了几项关键见解。首先，智能合约代码并非问题所在，它经过审计且无关键漏洞。其次，链下基础设施缺乏冗余，单一故障点导致了整个攻击。第三，此次攻击手法复杂，需要对跨链桥架构有深入了解。

Chainalysis同时指出，攻击者很可能具备内部知识，了解中继系统的内部逻辑，这表明这是一次针对性攻击而非随机入侵。报告建议协议应对链下操作实施多签验证，并使用密码学证明来验证跨链消息。

报告强调，链下攻击更难被发现，留下的链上痕迹更少。传统安全工具聚焦于智能合约，往往忽略了后端系统的漏洞。此次事件可能会加速对链下安全解决方案的投资。

对加密生态的影响

Kelp DAO事件产生了直接和长期的影响。短期内，协议损失了2.92亿美元，占其锁仓总价值的很大一部分。rsETH持有者面临不确定性，该代币价格急剧下跌，部分去中心化交易所暂停了交易。

Kelp DAO此后已采取恢复措施，包括暂停跨链桥功能并启动安全审查，同时悬赏征集攻击者线索。然而，完全恢复仍不确定，被盗资金可能无法追回。

长期来看，此事件将重塑安全实践。协议将开始严格审查其链下基础设施，实施更强的访问控制，并采用更稳健的验证机制。行业可能会看到跨链桥安全的新标准。

监管机构也正在关注。此事件凸显了跨链桥的风险。这些桥接器对于互操作性至关重要，但也创造了新的攻击面。政策制定者可能会推动更严格的要求，包括对链下系统的强制审计。

给开发者和用户的启示

开发者必须从Kelp DAO事件中吸取教训。仅进行智能合约审计是不够的，链下组件同样需要严格审查，这包括中继服务器、API和验证节点。每个组件都代表着攻击者可能的入口点。

用户也应保持谨慎。他们应研究协议的安全状况，寻找链下审计的证据，并考虑协议对事件的响应能力。在危机中，透明度和速度至关重要。

此事件也强调了去中心化的重要性。中心化的链下组件会创造单一故障点。协议应力求将这些组件去中心化，以降低单一被攻破导致巨大损失的风险。

Kelp DAO事件与其他攻击的对比

Kelp DAO事件并非首例链下攻击，但却是其中损失最严重的一起。先前的事件包括Ronin Bridge攻击和Wormhole事件，两者都涉及链下漏洞。Ronin攻击攻破了验证者密钥，Wormhole事件则针对跨链桥合约。每起事件都提供了独特的教训。

这些案例呈现出一个模式：链下与跨链漏洞普遍存在，且常常导致巨大损失。Kelp DAO事件符合这一模式，同时也凸显了此类攻击的演进特性。攻击者正变得更加复杂，他们瞄准的是链条中最薄弱的环节。

结论

Kelp DAO事件为整个加密行业提供了关键的安全教训。Chainalysis确认2.92亿美元的损失源于链下攻击，而非智能合约漏洞。这一区分至关重要，它迫使协议将视野扩展到区块链之外，必须确保其基础设施的每个组件都得到保护。

此次事件也凸显了对更好验证机制的需求。多签验证和密码学证明可以防止类似攻击。随着行业发展，安全措施也必须进步。Kelp DAO事件提醒我们，没有全面的保护，任何系统都不安全。开发者、用户和监管机构都需引以为鉴。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文