解读：Kelp DAO遭黑客攻击（2026年4月）

2026年4月，流动性再质押协议 Kelp DAO 成为2026年迄今最大 DeFi 黑客攻击的受害者。攻击者利用受感染的基础设施和分布式拒绝服务（DDoS）攻击，盗走了约2.92亿美元。

攻击内幕

Kelp DAO 被黑的根本原因是该协议采用了1-of-1 验证器配置。在通过跨链协议 LayerZero 接收消息时，只有一个节点负责在释放资金前检查这些消息。因此，攻击者只需欺骗一个验证器，使其批准一笔大规模的虚假交易。

攻击者并未尝试攻破验证器本身。相反，他们将目标锁定在作为这些节点数据源的远程过程调用（RPC）节点上。他们获取了其中两个节点的访问权限，从而能够注入声称通过 LayerZero 协议到达的虚假恶意消息。

然而，Kelp DAO 还有其他攻击者无法访问的 RPC 节点，这些节点会与攻击者描述的事件版本相矛盾。为了解决这个问题，他们发动了 DDoS 攻击，将这些 RPC 节点强制下线，迫使系统故障转移到攻击者控制的节点。结果，验证器将恶意 RPC 节点视为入站 LayerZero 消息的唯一真实来源。

接下来，攻击者将一条虚假的跨链消息引入 RPC 节点提供的数据集中。验证器检查了该消息并授权从 Kelp 跨链桥释放 116,500 枚 rsETH 到攻击者控制的账户。完成此任务后，安装在受感染 RPC 节点上的恶意软件自行删除并清除了本地日志文件，以帮助掩盖攻击者的踪迹。

攻击者盗走的 rsETH 约占该代币总流通供应量的 18%。攻击者利用这些被盗代币作为抵押品，在各种平台上获取贷款，从而将被盗代币转换为其他形式的加密货币，而贷款平台则持有这些被盗资产。因此，包括 Aave、SparkLend 和 Fluid 在内的多个平台冻结了各自的 rsETH 市场，以防止累积更多坏账。此外，在黑客攻击后的两天内，超过130亿美元的总锁仓量（TVL）从各个平台撤出，这一动向与 Kelp DAO 被黑事件相关。

Kelp DAO 攻击被归因于朝鲜的 Lazarus 集团。Lazarus 集团是迄今为止 Web3 领域一些最重大、损失最惨重的攻击背后的黑手，他们利用多种复杂手段实施高度针对性的攻击。

从攻击中吸取的教训

Kelp DAO 被黑事件展示了 Web3 中关键角色中心化带来的风险。尽管该项目过去曾收到警告，但 Kelp DAO 仍使用 1-of-1 验证器系统来检查和批准跨链消息。

攻击者利用了这一事实，将验证器置于他们控制的回声室中。强制除他们控制的两个节点之外的所有 RPC 节点下线，使他们能够伪造消息，从而造成约 2.92 亿美元的损失。

去中心化是 Web3 领域中一项关键的安全最佳实践，旨在帮助防范账户和系统被攻破。

• 原文链接： halborn.com/blog/post/ex...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～