Kelp DAO 遭到的 2.92 億美元漏洞攻擊引發了加密貨幣產業的劇烈震盪,開發者和交易員紛紛警告,此事件暴露了去中心化金融(DeFi)構建方式中的深層缺陷。
市場參與者分享的數據顯示,即時的負面影響已遠遠超出了被駭協議本身。
「rsETH 被駭正導致所有借貸協議出現提款潮,甚至包括 Solana 和未受影響的協議,」0xngmi 在週日的一篇貼文中表示,並指出包括「Aave:淨流入 -62 億美元(-23%)」以及 Morpho、Sky 和 JupLend 等協議出現的小幅但顯著的下降。rsETH 是流動性再質押協議 Kelp DAO 的再質押以太幣,是一種流動性再質押代幣(LRT),允許用戶在資產鎖定於質押時,仍能保持資產流動性並賺取以太幣質押與再質押獎勵。
這種壓力迅速演變成更嚴重的狀況。Josu San Martin 一篇廣為流傳的貼文描述了借貸市場內連鎖反應般的流動性壓力:「ETH 存款人無法提取 ETH,因此他們借入穩定幣來『提取』資金……這是對 AAVE 的全面擠兌。」
儘管 Aave 創始人 Stani Kulechov 表示該漏洞攻擊是外部的,且協議合約並未受損,但存款人仍陷入恐慌。根據 DefiLlama 的數據,總鎖倉價值(或存款)從 4 月 18 日的 264 億美元,降至週日美國上午時段的近 200 億美元。隨著存款人在週末爭相提款,AAVE 代幣也下跌了超過 18%。
漏洞攻擊本身已成為工程師和開發者關注的焦點。
幾位開發者反駁了早期關於問題源於核心基礎設施的假設。「KelpDAO 的漏洞攻擊(約 2.9 億美元)並非 LayerZero 協議的錯誤。這是一個配置問題,也是每個擁有跨鏈代幣的項目今天都需要審視的案例研究,」cryptogoblin 在一篇技術分析中寫道。
該貼文詳細說明了單一驗證點如何促成此次攻擊。貼文稱:「一個簽名就在以太坊上憑空產生了 116,500 枚 rsETH」,並描述該系統中「[智能] 合約沒有損壞,損壞的是驗證層」。
其他人則認為問題比單一的設置選擇更為深遠。
一位在 X 上名為 Fishy Catfish 的評論者將其定義為設計缺陷,指稱:「這裡沒有安全底線……配置可以是 1/1 的 DVN,而你選擇的 DVN 可能是由單一實體運行的單一節點。」在 DeFi 中,特別是在 LayerZero V2 內,DVN(去中心化驗證網絡)是一個獨立實體,負責驗證和證明跨不同區塊鏈網絡發送的消息的真實性。從本質上講,DVN 負責驗證來源鏈和目標鏈之間的消息雜湊(hash)。
為了更清楚地說明這一點,作者做了一個現實世界的類比:「想像一下,如果雲霄飛車製造商允許遊樂園自行決定最低安全規格。」基本上,作者是在說,沒有護欄的靈活性會製造隱藏風險。
該貼文甚至聲稱這種設置本身就是設計中的問題。「我個人認為這是一個有缺陷的設計。模組化安全是一個值得探索的設計空間,然而,安全範圍應該有一個相當強大的原生安全底線,然後再允許針對高價值的使用案例在之上進行『額外』的安全分層。」
引發嚴厲且恐慌批評的不僅僅是漏洞攻擊的金額和複雜性,其規模也加劇了擔憂。
大約 116,500 枚 rsETH(約佔供應量的 18%)受到影響。攻擊者欺騙了 LayerZero 的跨鏈消息層,使其相信來自另一個網絡的有效指令已送達,從而觸發了 Kelp 的跨鏈橋向攻擊者控制的地址釋放了 116,500 枚 rsETH。
各協議紛紛通過凍結市場和暫停功能做出回應。Aave 停止了 rsETH 的活動;Lido 暫停了與該資產相關的存款。隨著事態發展,其他項目也採取了類似措施以限制風險敞口。
除了技術爭論外,加密貨幣領域的情緒急劇轉向負面。一篇貼文或許用直白的話語捕捉到了這種情緒轉變:「DeFi 已死……『只管用 Aave』已死」,並補充說「加密貨幣時代已經結束」,還問道:「如果你正在讀這篇文章——為什麼你還留在加密貨幣領域?」
雖然這種反應聽起來像是過度反應,但在大型漏洞攻擊之後,這種「膝跳式」反應並不罕見,但此次事件的廣度確實引人注目。
這次攻擊同時影響了跨鏈基礎設施、再質押模型和借貸市場。此外,在此之前已發生了一系列近期事件。這次駭客攻擊發生在 DeFi 異常艱難的一段時期,尤其是本月。4 月 1 日,基於 Solana 的永續合約協議 Drift 被盜走約 2.85 億美元,該攻擊後來被認為與北韓關聯人士有關;在隨後的幾週內,至少有十幾個較小的協議遭到漏洞利用,包括 CoW Swap、Zerion、Rhea Finance 和 Silo Finance。
儘管有種種解釋,但疑問仍多於答案。
甚至 LayerZero 仍在試圖釐清漏洞攻擊的完整細節。其在 X 上的貼文中表示:「我們完全知曉 rsETH 的漏洞攻擊,自事件發生以來一直與 @KelpDAO 團隊積極進行補救並持續監控。所有其他應用程序仍然安全。我們仍在與 @_SEAL_Org 等機構共同確定根本原因。一旦掌握所有信息,我們將與 @KelpDAO 共同發布完整的事後分析報告。」
KelpDAO 也表達了同樣的觀點:「今天早些時候,我們發現了涉及 rsETH 的可疑跨鏈活動。在調查期間,我們已暫停了主網和多個 L2 上的 rsETH 合約。我們正與 @LayerZero_Core、@unichain、我們的審計員和頂尖安全專家合作進行根本原因分析(RCA)。隨著我們對情況的進一步了解,將隨時向各位通報進展。」
儘管如此,一些開發者從這場混亂中看到了更清晰的教訓。
這次漏洞攻擊並不依賴於破解加密技術或繞過智能合約。相反,它暴露了當系統依賴於層層假設時,會變得多麼脆弱。
簡單來說,工具是按照設計運作的,但它們的配置方式卻出了問題。
這一區別可能會影響未來的發展。開發者現在正敦促各項目審查其設置,特別是那些依賴跨鏈消息的項目。
正如 cryptogoblin 直截了當地表示:「檢查你的配置。注意安全。」
閱讀更多:DeFi 收益率暴跌,已無法與傳統儲蓄帳戶競爭
更多為您推薦:
明年民主黨在國會崛起的機率較大,屆時那些已開始針對 Kalshi 和 Polymarket 等公司的立法者可能擁有更大的影響力。
須知事項: