上周朝鲜黑客组织 Lazarus Group 从 Kelp DAO 协议中窃取了价值超过 2.9 亿美元的加密货币

该事件发生于 2026 年 4 月 18 日 UTC 17:35 左右，攻击者利用了 KelpDAO 在 LayerZero 跨链协议中采用的 1/1 DVN（单一去中心化验证节点）配置缺陷，伪造跨链消息，在以太坊主网铸造了 116,500 枚无真实抵押背书的 rsETH（价值约 2.9 亿至 2.93 亿美元）。



关键事实澄清
- 攻击对象：KelpDAO 是被攻击方，并非攻击者。
- 攻击者身份：LayerZero Labs 初步将攻击归因于朝鲜 Lazarus Group（又称 TraderTraitor）。
- 攻击方式：
  - 攻击者通过污染 LayerZero DVN 下游 RPC 节点，配合 DDoS 攻击诱导故障转移；
  - 使 DVN 错误确认“交易未发生”，从而伪造跨链消息，在目标链上铸造虚假 rsETH；
  - 未利用 LayerZero 或 KelpDAO 协议本身的代码漏洞或密钥泄露，而是利用了其单点验证架构的配置风险。
- 影响范围：
  - rsETH 资产被污染，攻击者将伪造 rsETH 作为抵押品在 Aave、Compound 等借贷协议中借出真实 ETH/WETH，造成 约 1.95–2.8 亿美元坏账；
  - Aave TVL 在 48 小时内蒸发约 80–95 亿美元，全链 DeFi 总 TVL 减少 132.1 亿美元；
  - 事件迅速蔓延至 Solana，Kamino 等协议 USDC 利用率冲至 100%。

行业反应与后续措施
- KelpDAO：已于攻击后 46 分钟内暂停 rsETH 跨链合约功能，并联合 LayerZero、安全团队展开调查。
- LayerZero：
  - 已废弃并替换受影响的 RPC 节点；
  - 强制要求所有项目从 1/1 DVN 迁移至 multi-DVN 多重验证架构；
  - 正配合全球执法机构追踪资金。
- Aave：紧急冻结 rsETH 抵押市场，并由其安全模块 Umbrella 承担部分坏账风险。

⚠️ 注意：部分早期报道（如资料 ）曾误称“源链私钥被攻破”，但LayerZero 官方澄清此为基础设施内部入侵（infra breach），非传统意义上的私钥泄露或协议漏洞。

如需跟踪事件最新进展，可关注：
- [KelpDAO 官方 X 账号]
- [LayerZero Labs 官方 X 账号]