2026 年 4 月 18 日,Kelp DAO 的流动性再质押协议在几个小时内被攻击者从跨链桥里抽走了 116,500 枚 rsETH,按当时价格约合 2.93 亿美元。整个流程高效得有点反常,从伪造跨链消息到把赃款分散在 Aave V3、Compound V3 和 Euler 三个借贷协议里借出真实资产,攻击者在当天就带着 2.36 亿美元的 WETH 撤场了。Aave、SparkLend、Fluid 随即全面冻结 rsETH 市场。
这是 2026 年迄今最大的 DeFi 攻击事件。
但有一件事让这次攻击区别于大多数黑客事件。Kelp DAO 的智能合约代码没有任何漏洞。参与调查的安全研究员 @0xQuit 在 X 上写道,「从我目前掌握的情况来看,这是两个问题的叠加:1-of-1 的 DVN 配置,以及 DVN 节点本身被攻破。」LayerZero 官方在声明中也没有提合约代码,把问题定性为「rsETH 漏洞」而非「LayerZero 漏洞」。
2.93 亿美元,不在任何一行代码里。它藏在一个部署时填错的配置参数里。
DeFi 安全审计的通用逻辑是:找合约,读代码,找漏洞。这套逻辑在应对代码逻辑漏洞时运作得相当顺畅,Slither、Mythril 这类工具对重入攻击、整数溢出这类已知模式的检测能力都比较成熟。近两年大力推广的 LLM 辅助代码审计,对业务逻辑漏洞(如闪电贷套利路径)也有一定能力。
但这张矩阵里有两行是红色的。
配置层漏洞在工具审计里属于结构性盲区。Kelp DAO 出问题的地方不在 .sol 文件里,而在协议部署时写入的一个参数——DVN 阈值。这个参数决定跨链消息需要经过几个验证节点确认,才被视为合法。它不进代码,不进 Slither 的扫描范围,也不进 Mythril 的符号执行路径。据 Dreamlab Technologies 的对比研究,Slither 和 Mythril 在受测合约里分别检测出 5/10 和 6/10 的漏洞,但这个成绩建立在「漏洞在代码里」这个前提上。据 IEEE 的研究,即使在代码层面,现有工具也只能检测到 8%-20% 的可利用漏洞。
从现有审计范式角度来说,不存在能「检测 DVN 阈值是否合理」的工具。如果要检测这类配置风险,需要的不是代码分析器,而是一份专项配置清单:「所用跨链协议的 DVN 数量 ≥ N?」、「是否有最低阈值要求?」这类问题目前没有标准化工具覆盖,甚至没有广泛认可的行业规范。
同样在红色区域里的是密钥和节点安全。@0xQuit 的描述里提到 DVN 节点「被攻破」,这属于运营安全(OpSec)范畴,超出任何静态分析工具的检测边界。无论是哪家一线审计机构还是 AI 扫描工具,都没有能力预判一个节点运营商的私钥是否会被泄露。
这次攻击同时触发了矩阵里两个红色区域。
DVN 是 LayerZero V2 的跨链消息验证机制,全称 Decentralized Verifier Network(去中心化验证网络)。它的设计哲学是把安全决策权交给应用层:每个接入 LayerZero 的协议,可以自己选择需要几个 DVN 节点同时确认,才放行一条跨链消息。
这个「自由度」产生了一个光谱。
Kelp DAO 选了光谱最左端 1-of-1,只需要一个 DVN 节点确认。这意味着容错率是零,攻击者只需要攻破那一个节点,就能伪造任意跨链消息。与之对比的是 Apechain,同样接入 LayerZero,但配置了两个以上的必需 DVN,此次事件中没有受到波及。LayerZero 官方在声明里的措辞是「所有其他应用仍然安全」,这句话的潜台词是:安全不安全,取决于你选了哪个配置。
正常的行业建议是至少 2-of-3,攻击者需要同时攻破两个独立的 DVN 节点才能伪造消息,容错率提升到 33%。高安全性配置如 5-of-9,容错率可以到 55%。
问题在于,外部观察者和用户看不到这个配置。同样叫做「由 LayerZero 支持」,背后可能是 0% 容错,也可能是 55% 容错。两者在文档里都叫 DVN。
资深加密投资人、曾经历过 Anyswap 事件的 Dovey Wan 在 X 上直接写道:「LayerZero 的 DVN 竟然是 1/1 validator……所有跨链桥都应该立刻做一次全面安全审查。」
2022 年 8 月,Nomad 跨链桥被人发现了一个漏洞。有人复制了第一个攻击交易,稍作修改,发现也成功了——于是几百个地址相继开始复制,在几个小时内把 1.9 亿美元抽干了。
Nomad 的事后分析写道,漏洞来源是「一次例行升级时,将 trusted root 初始化为 0x00」。这是一个配置错误,发生在部署阶段。Merkle 证明验证逻辑没有问题,代码本身没有问题,问题是一个初始值填错了。
这一次和 Nomad 加在一起,配置/初始化类漏洞已经造成了约 4.82 亿美元的损失。在整个跨链桥被盗历史里,这个类别的规模已经可以和密钥泄露类(Ronin 6.24 亿美元、Harmony 1 亿美元、Multichain 1.26 亿美元,合计约 8.5 亿美元)并列。
但代码审计行业的产品设计从来不是针对这个类别的。
行业里讨论最多的还是代码逻辑漏洞。Wormhole 3.26 亿美元因签名验证绕过被黑、Qubit Finance 8000 万美元因虚假存款事件被盗。这些案例有完整的漏洞分析报告、有 CVE 编号类比、有可复现的 PoC,适合审计工具的训练和优化。配置层的问题不写在代码里,很难进入这个生产循环。
值得注意的一个细节是,两次配置类事件的触发方式截然不同。Nomad 是在例行升级中不小心填了一个错误初始值,属于失误。Kelp DAO 的 1-of-1 则是一个主动配置选择——LayerZero 协议没有禁止这个选项,Kelp DAO 也没有违反任何协议规则。一个「合规」的配置选择,和一个「失误」的初始值,最终都指向了同一个后果。
此次攻击的执行逻辑很简单,一条伪造的跨链消息告诉以太坊主网,「另一条链上有人已经锁定了等值资产」,触发主网铸造 rsETH。铸出来的 rsETH 本身没有实际背书,但它的链上记录是「合法的」,可以被借贷协议接受为抵押品。
攻击者随即把 116,500 枚 rsETH 分散到 Aave V3(以太坊和 Arbitrum)、Compound V3 和 Euler,借出了合计超过 2.36 亿美元的真实资产。据多方报道,Aave V3 单独面临的坏账估值约为 1.77 亿美元。Aave 的安全模块 Umbrella 可用于吸收坏账的 WETH 储备约为 5000 万美元,覆盖率不到三成,剩余部分将由 aWETH 质押者承担。
这笔账最后落到了那些只是想赚一点 WETH 利率的人身上。
LayerZero 官方截至发稿仍在与安全应急响应组织 SEAL Org 联合调查,表示将在获得全部信息后与 Kelp DAO 共同发布事后分析报告。Kelp DAO 表示正在进行「主动补救」。
2.93 亿美元的漏洞不在代码里。「审计通过」这四个字,没有覆盖那个参数所在的位置。