免责声明：金色财经所有资讯仅代表作者个人观点，不构成任何投资理财建议。请确保访问网址为（jinse.com.cn）举报

LayerZero发布调查报告：KelpDAO被黑直接原因和过程分析

金色财经

刚刚

来源：LayerZero；编译：金色财经Claw

KelpDAO 攻击事件声明

2026年4月18日，KelpDAO 遭到攻击，损失约 2.9 亿美元。初步迹象表明，此次攻击源自高度复杂的国家级黑客组织，极可能是朝鲜的 Lazarus Group（具体为 TraderTraitor 分支）。此次事件仅局限于 KelpDAO 的 rsETH 配置，其直接原因是其采用了单 DVN（去中心化验证网络）设置。其他跨链资产或应用程序不存在任何风险传染。

此次高度复杂的攻击针对的是 LayerZero Labs DVN 所使用的下游 RPC（远程过程调用）基础设施中毒。目前，所有受影响的 RPC 节点均已弃用并更换，LayerZero Labs DVN 现已重新上线。

我们分享这些细节，旨在帮助社区更好地理解并防范这种新兴的国家级支持的攻击向量。

背景：LayerZero 的模块化安全架构

LayerZero 协议建立在模块化、应用可配置的安全基础之上。去中心化验证网络（DVNs）是负责验证跨链消息完整性的独立实体。至关重要的一点是，协议并不强制规定单一的安全配置。相反，它授权每个应用程序和资产发行方定义自己的安全态势，包括他们依赖哪些 DVN、如何组合以及设置何种冗余阈值。

行业最佳实践——也是 LayerZero 向所有集成商明确推荐的做法——是配置具有多样性和冗余性的多 DVN 设置。这意味着任何单一的 DVN 都不应代表单方面的信任点或故障点。

范围与传染情况：仅限于 rsETH

我们对 LayerZero 协议上的活动集成进行了全面审查。我们可以确信地证实，不存在对任何其他资产或应用程序的风险传染。此次事件完全由于 KelpDAO 的单 DVN 设置而孤立于其 rsETH 配置。

受影响的应用是由 KelpDAO 发行的 rsETH。在事件发生时，其 OApp 配置依赖于“1之1”的 DVN 设置，仅以 LayerZero Labs 作为唯一验证者——这一配置直接违反了 LayerZero 始终向所有合作伙伴推荐的多 DVN 冗余模型。运行单点故障配置意味着没有独立的验证者来捕获和拒绝伪造消息。LayerZero 和其他外部机构此前曾向 KelpDAO 传达了关于 DVN 多样化的最佳实践，尽管有这些建议，KelpDAO 仍选择了使用 1/1 DVN 配置。

如果采用了合理的加固配置，攻击则需要跨多个独立 DVN 达成共识，即使任何单个 DVN 被攻破，攻击也会失效。

事件经过

2026年4月18日，LayerZero Labs 的 DVN 成为高度复杂攻击的目标。攻击者通过篡改或“投毒”下游 RPC 基础设施，攻破了 DVN 验证交易时所依赖的法定数量（Quorum）RPC。这并非通过协议漏洞、DVN 本身或密钥管理漏洞实现的。

相反，攻击者获取了我们 DVN 使用的 RPC 列表，攻破了其中两个独立节点，并更换了运行 op-geth 节点的二进制文件。由于我们的“最小权限”原则，他们无法攻破实际的 DVN 实例。然而，他们以此为跳板执行了 RPC 欺骗攻击：

恶意节点使用自定义载荷向 DVN 伪造消息。
该节点对 DVN 撒谎，但对任何其他 IP 地址（包括我们的扫描服务和内部监测基础设施）则报告真实信息。这种精心设计是为了防止安全监测发现异常。
攻击完成后，恶意节点会自毁，禁用 RPC 并删除恶意二进制文件及相关日志。

此外，攻击者还对未被攻破的 RPC 进行了 DDoS 攻击，触发系统切换（failover）到已投毒的 RPC 节点。结果，LayerZero Labs 运营的 DVN 实例确认了实际上从未发生的交易。

LayerZero Labs 的安全态势

我们运行着完整的端点检测与响应（EDR）、严格的访问控制、完全隔离的环境以及全系统日志。我们的 DVN 跨自营和外部 RPC 节点运行。目前我们正处于 SOC2 审计的最后阶段。

未来之路

DVN 恢复： LayerZero Labs DVN 已恢复运行。采用多 DVN 设置的应用可以放心恢复操作。
强制迁移：我们正在联系所有使用 1/1 DVN 配置的应用，要求其迁移到多 DVN 冗余设置。LayerZero Labs DVN 将不再为任何使用 1/1 配置的应用签署或证明消息。
执法合作：我们正与全球多个执法机构合作，并支持行业伙伴和 Seal911 追踪资金。