为什么跨链桥不断损失数十亿美元
- DAIC
- 发布于 17小时前
- 阅读 29
文章围绕 2026 年 4 月 Kelp DAO 事件展开:攻击者通过控制 LayerZero 的单一验证节点并配合干扰外部 RPC,伪造跨链消息,铸造出无真实抵押的 rsETH,进而在 Aave、Compound、Euler 等协议中借出真资产,造成约 2.9 亿美元损失,并波及 20 余个协议。
如果你曾经使用过 DeFi 协议、持有过 liquid staking token,或者向 Aave、Compound 或某个 yield vault 存入过任何资产——这次事件都与你息息相关。不是因为你做错了什么,而是因为连接 DeFi 各个部分的基础设施中,存在一个行业多年来明知却始终没有修复的缺口。2026 年 4 月的 Kelp DAO exploit,是迄今为止这一缺口最昂贵的一次示范。本文将解释究竟发生了什么、为什么这种事会不断重演,以及真正要阻止它需要什么。
要点
在 2026 年 4 月 18 日的一次攻击中,$290 million 从 Kelp DAO 的 bridge 中流出,使其成为当年最大的 DeFi exploit。
尽管攻击者没有直接触碰任何协议,仍有 20 多个协议受到了波及。
Ronin、Wormhole、Multichain、Radiant Capital——这种故障模式有着长期记录。
分布式 validator set 使这类攻击在实践中几乎不可能实施。
用这种方式构建所需的工具早已存在;落后的,是把它变成默认设置的意愿。
2026 年 4 月 18 日,DeFi 领域发生了一件大事。如果你正在读这篇文章,你大概已经看过那个头条数字。但这个数字背后有一个值得认真理解的故事,因为它其实并不只是关于某一座 bridge 或某一个配置错误。
它关乎一种多年反复上演、规模不断扩大的模式。每一次,都是用户和协议去承担来自堆栈中某一层的损失,而他们既看不见,也无法控制那一层。那才是真正值得理解的部分。不是为了追责,而是因为理解它,是修复它的唯一途径。
一个 Verifier。一条伪造的消息。$290 Million。
2026 年 4 月,大多数持有 rsETH 的人并没有太在意它是如何运作的。他们把 ETH 存入 Kelp DAO(第二大 liquid restaking protocol)),换回 rsETH,然后继续把它用作 Aave 中的抵押品、yield 策略中的资产,以及跨越 20 多个网络的工具。超过 $1.57 billion 的 TVL 以这种方式流入。它看起来像是 DeFi 中更成熟的角落之一。但 2026 年 4 月 18 日改变了一切。
根据 LayerZero 的官方事件声明,攻击者在 exploit 发生前很久就已经做好了准备。他们获得了 LayerZero Labs 的 DVN(Decentralized Verifier Network)用于验证跨链交易的 RPC 节点列表,识别出其中两个运行在彼此独立的服务器集群上,并用恶意版本替换了这两个节点上运行的软件。这些被污染的节点被设计成只做一件非常特定的事:只向 LayerZero 的 verifier 报告伪造的交易数据,同时继续对所有其他查询它们的系统准确响应,包括 LayerZero 自己的 Scan 监控服务。从外部看,什么都看不出来。
但仅仅攻破这两个节点还不够。LayerZero 的 DVN 同时使用自己的内部 RPC 和外部 RPC 作为冗余——这一保护本来会在这里阻止攻击。所以,攻击者对未被攻破的外部 RPC 发起了 DDoS,迫使 DVN 完全回退到那些被污染的节点。由于再没有任何东西能与伪造数据相矛盾,verifier 确认了一笔实际上从未发生的交易。bridge 在没有真实 ETH 作为支撑的情况下铸造了 116,500 rsETH。大约占整个流通供应量 18%、价值约 $290–293 million 的资产被直接发送到了攻击者地址。随后恶意软件自毁,删除了二进制文件、本地日志和配置,以抹去一切痕迹。
如果采用 multi-DVN 配置,这一切都不会奏效。若 Kelp 当时运行的是来自不同运营方的两个或三个独立 verifier,攻破一个 DVN 的数据源并不足以伪造一条消息——其他 verifier 会拒绝它。LayerZero 确认,在事件发生前它已明确把这一点告知 Kelp。Kelp 仍然选择了 1/1。
随后事态迅速发展。攻击者将窃取到的 rsETH 作为抵押品存入 Aave V3、Compound V3 和 Euler,在三者上借出了真实的 WETH。在 Aave 上,攻击者利用了一项专为与 ETH 相关资产设计的功能,该功能允许在抵押品上进行显著更高的借贷,从而在保持仓位仅略高于清算阈值的同时榨出尽可能多的贷款。然后,这些仓位就被放弃了。没有真实支撑的 rsETH 作为抵押品躺在那里,真正的 WETH 已经被借走。由于抵押品现在一文不值,而且 health factor 的设定刻意避免自动清算,Aave 只能留下一个无法通过自身机制填平的窟窿。
结果,超过 15 个协议受到影响。Aave 冻结了所有 rsETH 市场,覆盖 Ethereum、Arbitrum、Base、Plasma 和 Linea。SparkLend、Fluid、Compound、Euler 和 Pendle 随后跟进。Arbitrum 的 Security Council 在执法部门的参与下,将 与此次 exploit 相关的 30,766 ETH 转移到了一个中间冻结钱包——这些资金现在只能通过与相关方协调的 Arbitrum governance 行动才能释放。没有任何一个协议被黑客直接入侵,它们每一个都只是基于一个在那天早上已经变得不同的资产做出了选择。作为预防措施,多家协议已全面暂停 LayerZero bridging,其中包括 Ethena、ApeCoin、ether.fi,以及其他并没有直接 rsETH 暴露的项目。Aave 的总 TVL 在一天内下降了 $6.6 billion,其中大部分来自从未接触过 rsETH 的资金池。当天结束前,DeFi 总 TVL 约减少了 $10 billion。
受此影响的大多数人都没有做错什么。rsETH 持有人、Aave 存款人、以及那些因预防措施而冻结相关操作的协议用户:他们都是根据自己所能获得的信息做出了合理决定。rsETH 在 exploit 之前的 TVL 超过十亿。它已经通过了审计。Aave 也走过了标准的抵押品接入流程。这些协议在可见层面上,没有任何迹象表明,它们的安全性最终依赖于一个其 RPC 基础设施可能成为单点故障的单一 verifier。
这种不可见性,才是真正值得讨论的问题。
Kelp DAO 事件并不是因为人们粗心大意而发生的。它之所以发生,是因为整个 stack 在所有人都能看到的层面看起来是去中心化的,而真正出问题的那些层却始终处在视野之外。顶部经过审计的 smart contract 看起来没问题。中间的 bridge verification layer 则以某种可能稳健、也可能不稳健的方式进行配置,但它几乎从不会出现在普通用户,甚至专业 risk team 会例行检查的任何界面里。
我们以前来过这里
Bridge exploit 并不是随机发生的。它们总是围绕同一个问题聚集:中间层中集中的信任,而这个中间层从未被设计来承受它如今所承受的重量。按年份排序后,这种模式就变得难以忽视。
主要 Bridge / Cross-Chain Verification Exploit
| 年份 | 协议 | 损失 | 根本原因 | 来源 |
| 2022 | Ronin Network | $624M | 鱼叉式网络钓鱼直接攻破了 4 个 validator 的私钥;第 5 个 Axie DAO validator 则通过其他方式被访问,从而跨过了 5/9 签名阈值 | CertiK |
| 2022 | BNB Bridge | $569M | 攻击者成为 relayer,并伪造了针对区块 110217401 的 Merkle proof,该区块在两年前已被确认;IAVL tree verifier 未能根据当前 root hash 验证 proof,导致任意消息伪造成为可能,并直接铸造了 200 万 BNB | Elliptic |
| 2022 | Wormhole | $326M | 验证过程接受了一个伪造的 system account 作为合法账户;攻击者借此授权在 Ethereum 上铸造了 120,000 wETH,而没有任何对应的存款;资金未追回 | CertiK |
| 2022 | Nomad Bridge | $190M | 升级 bug 将零 hash 视为有效 proof;任何消息都能在没有真实存款的情况下通过;41 个钱包公开利用了这一点,在数小时内将 bridge 彻底抽空 | CertiK |
| 2022 | Harmony Horizon | $97M | 攻击者获取了 MultiSigWallet owner 的控制权,并直接调用 confirmTransaction(),绕过多方批准;12 笔交易抽走了 ETH、USDC、WBTC 和其他 token,全部流向 Tornado Cash | CertiK |
| 2023 | Multichain | $126–130M | 所有私钥都只由 CEO 持有;密钥无法访问,资金被转移到未知地址 | Chainalysis |
| 2023 | Orbit Bridge | $82M | 中心化服务器被攻破;multisig 私钥被获取,5 笔交易在被发现前就抽干了 Ethereum vault,发生在 12 月 31 日 | Halborn |
| 2024 | Radiant Capital | $50–53M | DPRK malware 通过伪造硬件钱包上的交易预览,悄无声息地从 3-of-11 签名者那里收集到有效签名;攻击者转移了合约所有权,并抽干了 Arbitrum 和 BSC 上的 lending pools | Halborn |
| 2025 | Force Bridge | $3.76M | 被攻破的私钥被用来直接调用特权 unlock() 和 withdraw() 函数;攻击者在成功前连续 6 小时多次尝试失败,而这一切发生在 bridge 宣布退役的第二天 | Halborn |
| 2026 | Kelp DAO | $290M | 攻击者伪造了一条跨链消息;1/1 DVN 配置意味着一个被攻破的 verifier key 就足以对其进行认证,而 bridge 在源链上没有任何存款的情况下释放了 116,500 rsETH | LayerZero |
| 2026 | IoTeX ioTube | $4.4M | Validator contract owner 账户的私钥被攻破;攻击者用它执行了一次恶意升级,绕过了验证和签名检查,完全控制了 TokenSafe 和 MintPool | Halborn |
这份列表由公开来源和链上分析整理而成。实际总损失很可能更高,许多 exploit 没有被报告,而且并非所有损失都特指验证失败。如果我们遗漏了某个事件,请在评论里补充,我们会更新这张表。
这 11 起事件合计约为 $2.37 billion,大约相当于 建造大型强子对撞机 一半的成本;而这台机器是为了寻找肉眼看不见的事物而建造的。讽刺意味不言自明。
Stack 变高了。地基却依然很浅。
这种轨迹是真实存在的。这也意味着,越来越多的资本正建立在一个没有跟上上层规模的基础设施之上。根据 Hacken 的数据,到 2025 年年中,跨链 bridge exploit 造成的损失就已超过 $2.53 billion,而 Chainalysis 则将全年加密资产损失总额估算为超过 $3.4 billion。每当重大事件发生,教训都会被记录,补丁会被打上,而 stack 的上层会变得更加复杂。中间的 verification infrastructure 则只是被打补丁,而不是被重新思考。
上面的这些事件有一个共同点。负责证明 Chain A 上发生的事在 Chain B 上也为真的那一层,要么过于中心化,要么太容易伪造,要么太容易绕过。具体机制各不相同:被攻破的 signing key、伪造的 Merkle proof、伪装的账户、以及配置不当的 multisig。但结构性故障是一致的。每一次,攻击者都没有攻破 cryptography。他们只是找到了一个缺失的检查,或者一个由过少的 key 控制的检查,而这就足够了。
validator 中心化,也就是导致 Kelp 出问题的 1/1 DVN 模式,只是一类故障,而且可以说是最容易解决的一类。但它并不能解释全部问题。共同点并不是某一种单独的 bug class,而是 verification layer 一直被当作一个已经解决的问题来看待,尽管它并没有。
为什么 Base-Layer 安全在 Bridge 处就停了下来
大多数人把 validator 去中心化理解为 blockchain base layer 的概念:成千上万独立的 validator、多种 client 实现、地理分布以及对不当行为的 slashing。这种稳健性是真实的,也是来之不易的。
Kelp 事件明确表明,这种稳健性并不会自动向上延伸。stack 中执行 attestation 的每一层,无论是 bridge、messaging network 还是 oracle,都有自己的 validator 架构和自己的 failure mode。
这就是所谓的“barrel effect”:链上协议的整体安全性,取决于它所接触的所有链和 bridge 中最弱的那一环。
这里有一个具体原因,说明为什么分布式 validator set 是答案,而不仅仅是众多选项中的一个。当单个 verifier 认证跨链消息时,攻击者只有一个目标。只要攻破那个运营方的基础设施(其 RPC 节点、其 signing key、其软件),bridge 就会把伪造消息当作真实消息。攻击者只需要成功一次,在一个地方,针对一个系统。
当验证分布在多个独立 validator 之间时,比如 13 of 19,问题的性质就完全改变了。攻击者现在需要腐化足够多的独立参与方,而且在成功前不能让任何其他参与方发现这次协调一致的攻击行为。这些参与方运行不同的软件,使用不同的基础设施提供商,位于不同的司法管辖区,并且不共享任何 operational dependency。攻破其中一个并不会削弱其他人。集合中每多一个真正独立的 validator,攻击被协调成功的难度就会呈指数级上升。
这就是为什么 decentralized validator set 不是同一个想法的更好版本。它是一种在性质上不同的安全模型。它把问题从“单个运营方能否被攻破?”转换成“能否让 N 个完全独立的参与方同时且无声地被腐化?”。历史表明,攻击者可以稳定地回答第一个问题:可以。但第二个问题,当 validator set 既多样又庞大时,仍然几乎不可企及。
这让所有人身处何地
对于任何直接受到影响,或通过所使用协议间接受到影响的人来说,有必要说明一点:原本足以让你做出不同决定的信息,在现实中并不在你的可得范围内。这对行业来说并不是一个令人舒适的事实,但它确实如此,假装不是这样对任何人都没有帮助。
对于 builders 来说,构建稳健的 multi-verifier bridge security 的理由从未如此清晰。针对 verification layer 中集中信任的同一类攻击,已经让协议受挫并造成损失。每一次都可以通过同一种架构变更来避免:将验证分布到一组独立运营方之中。 实现这一点的技术今天就已经存在。它需要被设为默认值,而不是可选建议。
对于整个生态系统而言,走向 institutional scale 的轨迹是真实的,推动这一轨迹的基本面也同样稳固。但每一笔流入 DeFi 的新增十亿资本,都依赖其下方的 verification infrastructure。stack 顶层已经建成的东西,与中间层已经建成的东西之间的差距需要弥合。不是因为生态系统失败了,而是因为它已经发展到足够大,完成地基如今成了最重要的剩余工作。
技术细节会很重要。但一次 impact analysis 无法解决这次事件所揭示的问题。真正决定问题能否闭环的,是接下来会构建什么,以及从现在开始,validator 架构会被多认真地视为一项第一等要求。
DAIC 提供的信息,包括但不限于研究、分析、数据或其他内容,仅供信息参考,不构成投资建议、财务建议、交易建议或任何其他类型的建议。DAIC 不建议购买、出售或持有任何 cryptocurrency 或其他投资。
- 原文链接: daic.capital/blog/defi-b...
- 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
