圈小蛙
上周末,流动性再质押协议 Kelp DAO 遭遇毁灭性打击,黑客利用跨链协议安全漏洞卷走超过 2.9 亿美元加密资产,刷新 2026 年度最高被盗记录。跨链基础设施项目 LayerZero 在周一发布调查结果,明确指控朝鲜黑客组织是幕后黑手。此次攻击暴露了协议在多重验证配置上的致命短板。
2.9亿美元被盗:2026年最惨重的黑客攻击
就在刚刚过去的那个周末,加密市场还没从震荡中缓过神来,Kelp DAO 协议的资金池就被黑客像抽真空一样洗劫一空。根据初步统计,此次被盗金额超过 2.9 亿美元。这意味着 2026 年才过去不到四个月,我们就见证了史上罕见的巨额窃案,直接打破了 4 月份加密交易所 Drift 被盗 2.85 亿美元的纪录。史上最大的加密货币盗窃案件发生在2025年初,朝鲜黑客组织Lazarus Group从Bybit交易所窃取15亿美元。
根据媒体报道,这起攻击在当地时间 2026 年 4 月 20 日(周一) 得到了关键进展。作为 Kelp DAO 重要的基础设施提供方,LayerZero 团队在社交平台 X 上公开表态,认为这起有组织、有预谋的盗窃行为与朝鲜方面有着直接联系。
技术细节复盘:跨链桥与多签缺失的“合谋”
作为一名安全工程师,我不得不说,这起攻击的套路非常“老辣”。黑客并没有直接去硬磕区块链的底层代码,而是精准地锁定了 Kelp DAO 的业务逻辑与基础设施之间的缝隙。
此次攻击的核心在于 LayerZero 跨链桥。众所周知,LayerZero 是用来让不同区块链之间互相发指令、传资产的“中转站”。黑客首先通过 LayerZero 的桥接器向 Kelp DAO 发送了经过伪造的欺诈指令。
但最致命的漏洞出在 Kelp DAO 自身的 安全配置(Security Configuration) 上。在正常的金融协议中,一笔大额资金的流出通常需要多个独立节点的确认,也就是我们常说的“多签”(Multi-sig)验证。然而,Kelp DAO 的这套配置在关键时刻“掉链子”了。黑客发现该协议在处理某些特定跨链指令时,竟然不需要多重验证即可批准交易。这就像是一座金库的大门虽然很厚,但保安为了图省事,把指纹锁改成了只要刷脸(哪怕是张照片)就能开门。
谁在幕后?LayerZero 的公开指控
到周一为止,这起事件已经从单纯的技术漏洞上升到了地缘政治博弈。LayerZero 项目方在调查报告中提到,通过对黑客洗钱路径、攻击手法以及使用的服务器特征进行比对,基本可以断定这又是朝鲜黑客组织(通常指向著名的 Lazarus Group)的杰作。
朝鲜黑客对 DeFi 协议的“偏爱”早已不是新闻,从 Ronin Bridge 到 Horizon Bridge,每一次都是数亿美元的规模。他们非常擅长寻找协议在追求“高速、便捷”时牺牲掉的安全性。
我们该学到什么?
这次事件对所有再质押(Restaking)协议都是一记重锤。Kelp DAO 本意是帮用户赚取更多收益,但如果你连底层的“门锁”都关不牢,再高的收益也只是给黑客打工。
第一性原理告诉我们,去中心化的本质是安全和抗审查,如果为了用户体验而过度简化验证流程,那就是本末倒置。对于我们开发者来说,不要迷信任何第三方基础设施的防御力,协议自身的防护能力才是最后一道防线。
目前的最新进展是,LayerZero 正在联合各方安全公司试图追踪这批资金的去向,但考虑到黑客已经开始利用各种混币器(Mixers)进行洗白,追回资金的可能性微乎其微。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️