游乐游手机版
首页/web3.0/文章详情

LayerZero 将 2.9 亿美元的漏洞攻击归咎于 Kelp 的设置,并将其与朝鲜的 Lazarus 漏洞联系起来

时间:2026-04-20 13:56
LayerZero深度剖析:Kelp DAO 2 9亿美元漏洞根源与安全启示 近日,流动性质押协议Kelp DAO遭遇高达2 9亿美元的巨额资产损失,震动整个Web3领域。跨链互操作协议LayerZero Labs发布的技术分析报告,将事件核心原因指向Kelp DAO自身所采用的单验证器配置。这一结

LayerZero深度剖析:Kelp DAO 2.9亿美元漏洞根源与安全启示

近日,流动性质押协议Kelp DAO遭遇高达2.9亿美元的巨额资产损失,震动整个Web3领域。跨链互操作协议LayerZero Labs发布的技术分析报告,将事件核心原因指向Kelp DAO自身所采用的单验证器配置。这一结论不仅明确了责任归属,更深刻揭示了当前DeFi安全威胁正从智能合约层,向更底层的基础设施层转移的全新攻击范式。

2025年主流加密货币交易所:

攻击手法复盘:一场针对RPC节点的精准“投毒”

根据LayerZero的初步调查,此次攻击的幕后黑手指向了臭名昭著的朝鲜黑客组织Lazarus集团及其关联团队TraderTraitor。攻击者的策略并非直接攻破协议代码,而是精巧地瞄准了支撑跨链通信的底层基础设施——远程过程调用(RPC)节点

RPC节点是区块链网络的数据网关,负责读取和提交交易数据。LayerZero的验证器为了确保可靠性,通常会配置多个内部及外部RPC节点作为数据源。然而,攻击者成功入侵并替换了其中两个外部节点上运行的软件,植入了恶意版本。

这个恶意软件的设计极具欺骗性:它仅对来自LayerZero验证器的特定查询返回虚假的欺诈交易报告,而对于其他所有查询(包括LayerZero自身的监控系统)则返回正常数据。这种“选择性欺骗”使得常规监控完全失效,为后续攻击铺平了道路。

攻击闭环:DDoS攻击与故障转移的致命组合

为了确保验证器只从被其控制的节点获取数据,攻击者启动了第二步:对剩余的健康RPC节点发起大规模的分布式拒绝服务(DDoS)攻击。根据LayerZero公布的流量日志,攻击发生在太平洋时间4月20日上午。

DDoS攻击导致健康节点无法响应,系统自动触发故障转移机制,将所有流量导向已被入侵的节点。此时,恶意节点向验证器报告了一条“合法”的跨链消息,导致Kelp的桥接合约向攻击者地址释放了116,500枚rsETH。得手后,恶意软件立即自毁,企图抹除所有痕迹。

核心症结:单验证器配置的巨大风险

那么,为何如此复杂的攻击能够最终成功?LayerZero报告直指问题核心:Kelp DAO采用了风险极高的“1对1”单验证器配置。在这种配置下,LayerZero Labs是唯一有权验证通往rsETH桥接消息的实体,缺乏任何冗余校验机制。

LayerZero强调,其官方文档及与项目的直接沟通中,始终明确建议并鼓励采用多验证器(去中心化验证器网络,DVN)架构。在多重签名或多验证器共识模型下,需要多个独立实体共同签名确认,单一数据源被篡改无法伪造有效消息。报告明确指出:“一个真正加固的配置需要多个独立DVN达成共识。在此配置下,即使单个DVN被攻破,此次攻击也无法奏效。”

LayerZero的应对与行业影响

LayerZero已确认,其协议上所有其他应用程序,特别是那些遵循OFT标准或运行多验证器配置的项目,均未受此事件影响。为彻底杜绝此类风险,LayerZero宣布了一项关键政策调整:将不再为任何运行“1-of-1”单验证器配置的应用程序签署消息。此举旨在强制推动整个生态向更安全的冗余验证架构迁移。

此次事件也清晰划分了风险责任的边界:漏洞并非出自LayerZero的协议层代码,而是源于集成方(Kelp DAO)在安全配置上的选择失误。这为所有DeFi项目方敲响了警钟:在集成外部协议时,必须严格遵循其推荐的安全最佳实践。

Lazarus集团:持续进化中的顶级威胁

更令人担忧的是攻击者的演变速度。Lazarus集团在近期异常活跃,不仅涉及此次Kelp事件,还与4月初的Drift Protocol攻击有关。这意味着,该组织在短短18天内,通过两种截然不同的攻击路径——社会工程学治理攻击与基础设施RPC投毒——从DeFi领域窃取了超过5.75亿美元资金。

这暴露出一个严峻现实:高级持续性威胁(APT)组织正快速适应并寻找DeFi生态中最薄弱的环节,其战术切换速度可能远超许多项目的防御升级节奏。

给Web3项目与用户的深刻安全启示

Kelp DAO漏洞事件为整个行业提供了宝贵的安全教训:

  • 基础设施安全即协议安全:项目方必须将RPC节点、预言机、验证器等底层基础设施的安全视为核心安全的一部分,进行严格评估和监控。
  • 强制冗余,避免单点故障:在任何关键的安全或资金决策环节,必须摒弃单点验证模式,采用多重签名或多验证器共识。
  • 遵循官方安全建议:集成第三方协议时,应严格遵守其官方推荐的安全配置,切勿为节省成本或便利性而降低安全标准。
  • 实施深度防御监控:监控系统应独立于生产数据源,并采用异构、多角度的检测手段,以识别“选择性欺骗”类高级攻击。
  • 用户需审视协议依赖风险:用户在参与DeFi项目时,除了审计协议本身,也应了解其依赖的跨链桥、预言机等基础设施的安全模型与历史记录。

随着DeFi乐高组合日益复杂,安全已成为一个贯穿协议层、应用层和基础设施层的整体性挑战。唯有每个参与者都提升安全认知,坚持最高标准的安全实践,才能共同构建一个更具韧性的Web3未来。

来源:https://www.528btc.com//news/116383658.html
上一篇币安最新官网App下载 币安交易所安卓版v8.5.0官方正版 下一篇火币HTX交易所App v8.3.2更新 PrimeVote投票上币活动参与教程
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
安卓知乎币充值指南:知识付费的便捷入口与操作步骤
web3.0 · 2026-07-01

安卓知乎币充值指南:知识付费的便捷入口与操作步骤

安卓知乎币充值,知识付费的便捷入口 在碎片化阅读盛行的今天,知乎以其专业、深度的内容生态,稳稳占据着知识获取的高地。对于安卓用户来说,想要解锁平台上更丰富的优质内容,知乎币充值功能,无疑是那个关键的“钥匙孔”。作为平台通用的虚拟货币,知乎币的用途相当灵活:既能用来购买专栏、电子书、Live讲座等付费

LayerAI团队背景与合作伙伴如何推动生态发展与代币价值提升
web3.0 · 2026-07-01

LayerAI团队背景与合作伙伴如何推动生态发展与代币价值提升

LayerAI:重塑数据价值,AI与区块链的融合革命 在数字化浪潮的推动下,人工智能与区块链两大前沿技术正以前所未有的方式交汇融合。这片交叉领域不仅是创新的试验田,更是价值重构的新大陆。其中,LayerAI以其独特的“数据资产化”理念,正在引领一场关于数据所有权、价值流通与生态协同的深度变革。这不仅

Render网络迁移至Solana的优势解析及其对用户的深远影响
web3.0 · 2026-07-01

Render网络迁移至Solana的优势解析及其对用户的深远影响

Render网络迁移至Solana:一场效率与成本的深度变革 在区块链技术不断演进的浪潮中,一次关键的底层迁移,往往能释放出巨大的网络潜能。Render网络从以太坊转向Solana,正是这样一个标志性事件。这不仅是一次简单的技术栈切换,更是一场深刻影响交易速度、运营成本和未来生态格局的全面升级。对于

荣耀币在王者荣耀安卓生态中的价值与未来应用前景解析
web3.0 · 2026-07-01

荣耀币在王者荣耀安卓生态中的价值与未来应用前景解析

王者荣耀安卓生态的“硬通货”:荣耀币的价值与角色解析 在《王者荣耀》庞大的游戏世界里,安卓玩家与一种名为“荣耀币”的虚拟货币,结成了紧密的同盟。作为安卓端的专属货币,它早已超越了简单的充值工具范畴,成为了串联起英雄收集、皮肤焕新、特权体验等一系列核心玩法的关键纽带,堪称整个安卓游戏生态高效运转的“润

FIL币价格总量解析与发行释放机制详解
web3.0 · 2026-07-01

FIL币价格总量解析与发行释放机制详解

深入解析FIL币:机制、现状与未来 在去中心化存储的宏大版图中,Filecoin网络及其原生代币FIL,始终占据着核心地位。自2020年主网上线以来,它便致力于利用区块链技术,重塑全球数据存储资源的分配与交易模式。作为这个庞大生态系统的价值媒介,FIL币的设计机制、经济模型与市场表现,一直是投资者和