#加密市场行情震荡rsETH 攻击更新：一个伪造消息如何摧毁-9223372036854775808亿的DeFi

改变DeFi的那次攻击

2026年4月18日UTC时间17:35整，一条伪造的跨链消息引发了当年的最大DeFi漏洞。KelpDAO的由LayerZero支持的rsETH桥在几分钟内被清空了116,500个rsETH，约$10 百万。没有智能合约被破坏，也没有Solidity代码被利用。整个攻击发生在区块链之间的隐形层——即DeFi一直依赖但未充分理解其脆弱性的链下验证基础设施。24小时后尘埃落定时，DeFi锁仓总价值从995亿美元崩溃至852.1亿美元，价值损失达-9223372036854775808亿。这是每个DeFi参与者都必须完全理解的rsETH攻击更新。

KELPDAO是什么，为什么它重要

KelpDAO是一个建立在以太坊和EigenLayer上的流动再质押协议。用户存入ETH，协议通过EigenLayer的再质押基础设施进行路由，以获得额外的收益，超出标准质押奖励，并发行rsETH，一种代表再质押仓位加上累积奖励的可交易凭证。到2026年4月，rsETH的总锁仓价值已突破-9223372036854775808亿，并被集成为大多数主要借贷市场和收益平台的抵押品。rsETH在超过20个区块链网络上上线，包括Arbitrum、Base、Linea、Mantle、Blast和Scroll，使用LayerZero的OFT标准在链间转移。被清空的桥背后持有所有这些包装rsETH的储备金，跨越所有Layer 2部署。当该桥被清空时，流通中的所有rsETH中有18%变得无担保，跨越20多个链同时发生。

攻击的执行方式：技术细节分析

此次攻击不是智能合约黑客。每笔链上交易看起来都完全有效。签名经过验证，消息格式正确。漏洞在链下基础设施层——特别是LayerZero的去中心化验证器网络（DVN），即在目标链采取行动前确认跨链消息合法性的系统。

KelpDAO的rsETH桥采用1对1的DVN配置。这意味着只需LayerZero Labs的DVN验证和批准跨链消息，无需第二个验证者、独立确认或冗余。只有一个验证者，一个故障点。

朝鲜的国家支持黑客组织“拉撒路集团”发现了这个漏洞，并实施了三部分基础设施攻击。首先，他们攻破了两个内部RPC节点，这些节点向LayerZero验证器提供市场数据，注入虚假信息。第二，他们对备用节点发动DDoS攻击，迫使系统切换到已被攻破的基础设施。第三，验证器在被污染的节点上运行后，注入了伪造的LayerZero跨链消息编号308，告诉以太坊桥合约源链已发生有效的销毁，触发了向攻击者控制的钱包释放116,500个rsETH。整个操作使用事先通过Tornado Cash预存的钱包，约在攻击前10小时准备，确认这是一次有计划的、国家级的行动，而非 opportunistic的漏洞利用。

几分钟内，攻击者将被窃取的rsETH作为抵押存入Aave，并用无担保的代币借出超过$292 百万的WETH，形成了一个“借贷”操作。$14 百万的盗窃在大多数用户还未察觉时，已转变为$1 百万WETH的提取。

46分钟的应急反应挽救了$236 百万

KelpDAO的应急响应团队在18:21 UTC，正好在首次抽取后46分钟，启动了应急暂停多签。协议范围内的暂停冻结了存款、取款和rsETH代币在主网及所有L2部署上的操作。18:26和18:28 UTC，攻击者两次尝试再抽取各约40,000 rsETH（约$292 百万），均被冻结合约阻止。46分钟的反应时间，决定了从$236 百万漏洞到几乎不成比例的损失之间的差距。KelpDAO应急团队的迅速行动，是避免损失几乎翻倍的唯一原因。

蔓延的影响：DeFi的连锁反应

损失的速度远超任何应急暂停的控制能力。DeFi最大借贷协议Aave在数小时内冻结了V3和V4的rsETH市场。Aave的ETH利用率一度飙升至100%，用户纷纷撤回。AAVE代币价格下跌约10-20%，反映潜在的坏账风险。SparkLend和Fluid也冻结了rsETH市场。Lido Finance暂停了其earnETH产品的存款，因rsETH暴露。Ethena暂时暂停了其LayerZero OFT桥，作为预防措施。一天之内，DeFi的总锁仓价值从995亿美元跌至852.1亿美元，生态系统中被一场桥漏洞消灭了-9223372036854775808亿。

Aave的事故分析显示，漏洞造成了无担保抵押品，用于借出约$100 百万，可能导致协议面临$100 百万至$292 百万的潜在坏账，具体取决于KelpDAO如何在rsETH持有者之间分配短缺。

拉撒路集团归属

这不是随机黑客。LayerZero正式将此次攻击归咎于朝鲜的“拉撒路集团”，该国家支持的黑客组织与2026年4月1日的$492 百万“漂移”漏洞和过去数十次价值数十亿美元的加密盗窃事件有关。拉撒路集团是全球最具生产力和技术最先进的加密黑客组织之一，他们在2026年18天内参与了两起最大规模的DeFi漏洞，显示出系统性、协调性的攻击策略，目标是基础设施层而非合约层。

ARBITRUM的紧急冻结：史无前例的干预

2026年4月21日，漏洞发生后三天，Arbitrum安全委员会执行了有史以来最重要的Layer 2紧急干预。由12名成员组成的委员会，在9/12多签下，没收了攻击者在Arbitrum One上的30,766 ETH，并转入一个冻结的中介钱包。转账于4月21日晚上11:26完成。未经正式Arbitrum治理投票，这些资金无法再次动用。此次干预追回了约7115万美元，约占攻击者在Arbitrum上积累的ETH的29%。剩余的75,701 ETH（约$20 百万）已被转移，正通过Thorchain和其他隐私工具洗钱，未能在冻结前追踪。

此次冻结引发了关于去中心化的激烈讨论。如果一个12人委员会可以冻结Arbitrum上的资产，这意味着Layer 2承诺的无许可所有权保障还能成立吗？支持者称之为DeFi自我防御国家级犯罪的表现，批评者则认为Arbitrum实际上只是一个多签钱包，有权覆盖用户资产控制。

LayerZero与KelpDAO的责任争论

漏洞后期，LayerZero与KelpDAO公开争执，谁应承担责任。LayerZero发布事后报告，称KelpDAO选择了1对1的DVN配置，尽管明确建议采用多验证者冗余，并宣布立即停止为单验证者应用签名，推动所有LayerZero集成的迁移。

KelpDAO反击，称1对1配置是LayerZero新部署的默认设置，LayerZero的文档和公开代码也支持单源验证，且受损的基础设施（RPC节点和DVN服务器）完全由LayerZero构建和运营，而非Kelp。安全研究员部分支持Kelp，知名开发者banteg发布技术评审，确认LayerZero的部署代码在主要链上默认采用单源验证。

双方陷入僵持，未达成明确解决方案。双方都承诺会发布完整的根因分析，但是否所有在LayerZero运行的1对1 OFT应用都面临同样的攻击风险，仍未有定论。

这对DeFi意味着什么

此次KelpDAO漏洞不仅仅是一次黑客事件，而是暴露了跨链DeFi生态的结构性盲点。攻击与Ronin、Nomad桥的失败类似——即中心验证点成为高价值目标。但更严重的是，链上合约未被触及，所有链上交易都有效。失败在于DeFi多年来视为已解决的链下基础设施。

教训明确且紧迫。持有大量价值的桥必须采用多验证者DVN配置。部署设置的审计必须成为标准流程，而不仅仅是智能合约代码。持续验证目标链的代币是否与源链销毁的匹配的跨链不变性监控，成为桥安全的最低门槛。至于DeFi如何应对国家级黑客的资源和耐心，尚无明确答案。

$14 百万的盗窃，-9223372036854775808亿的TVL损失，$190 百万潜在坏账，30,766 ETH被冻结，拉撒路集团归属，所有迹象都指向：DeFi的跨链基础设施层是整个生态中最脆弱的部分，最先进的黑客已识别这一点，并在系统性利用。

rsETH攻击不是警告，而是判决。修复基础设施层，否则一切皆将付诸东流。

$123