LayerZero 歸因於北韓 Lazarus Group 的 KelpDAO 跨鏈橋於 4 月 18 日遭受 2.9 億美元攻擊,在 DeFi 領域引發震盪,並在 48 小時內抹去了各協議超過 130 億美元的總鎖定價值 (TVL)。
攻擊者於 4 月 18 日從 KelpDAO 由 LayerZero 驅動的跨鏈橋中竊取了 116,500 枚 rsETH,價值約 2.9 億美元,CoinDesk 稱這是 2026 年迄今為止最大的 DeFi 攻擊事件。LayerZero 是該橋的基礎設施提供者,該公司週一在一份聲明中表示:「初步跡象表明,攻擊者是一個高度複雜的國家級行為者,很可能是朝鮮的 Lazarus Group。」
這次攻擊透過破壞 LayerZero 驗證器用於確認跨鏈交易的兩個遠端程序呼叫 (RPC) 節點來執行,然後用垃圾流量淹沒備用節點,迫使系統故障轉移到受感染的端點。一旦驗證器簽署了偽造的交易,該橋便將 2.9 億美元的 rsETH 釋放到攻擊者控制的地址。惡意軟體隨後自毀,清除了二進位文件和日誌,以阻礙鑑識調查。據 crypto.news 報導,這次攻擊事件單單導致 Aave 流出超過 100 億美元,隨著用戶爭相退出,該借貸協議的總鎖定價值 (TVL) 從 458 億美元降至 357 億美元。UPI 報導稱,在事件發生後的兩天內,DeFi 平台總鎖定價值 (TVL) 損失了超過 130 億美元。
關於誰應對導致這次攻擊的漏洞負責,一場爭議已經爆發。LayerZero 表示,KelpDAO 選擇了 1-of-1 去中心化驗證器網路配置,這是該公司曾多次警告的單點故障風險,並宣布將不再為使用此類設置的任何應用程式簽署訊息。KelpDAO 反駁道,並告訴 CoinDesk,其配置遵循 LayerZero 官方文件中的預設設定,且受到破壞的驗證器是 LayerZero 自身基礎設施的一部分。正如 crypto.news 所記錄的,包括 Yearn Finance 開發者在內的獨立安全研究人員發現,LayerZero 的公開部署代碼在所有主要鏈上都預設使用單一來源驗證,這削弱了該公司聲稱 KelpDAO 偏離了指導方針的說法。
KelpDAO 攻擊事件是 Lazarus Group 在 4 月份發動的第二起主要 DeFi 攻擊,繼 4 月 1 日對 Drift Protocol 2.85 億美元的攻擊之後,這使得該組織本月在 DeFi 領域的總獲利超過 5.75 億美元。據 crypto.news 追蹤,攻擊者此後已開始清洗被盜資金,將資產經由 Arbitrum 轉移到基於 Tron 的穩定幣。Jefferies 警告稱,如此規模的重大攻擊可能會暫時減緩華爾街對代幣化專案的興趣,因為機構正在重新評估 DeFi 橋接基礎設施中潛在的安全風險。LayerZero 表示已確認沒有波及到其他運行多驗證器配置的應用程式,但已強制要求全協議從單一驗證器設置遷移。
LayerZero 表示正在與 KelpDAO、安全聯盟以及執法機構合作追蹤被盜資金,儘管攻擊者使用隱私工具已使追回工作變得異常複雜。
