最近的 KelpDAO 事件始於基礎設施層,而非智能合約內,這使得它能夠繞過預期的安全檢查。攻擊者針對的是驗證跨鏈轉帳的訊息系統,而非合約邏輯本身。
他們壓垮了有效的 RPC 節點,並引入了惡意節點,迫使系統依賴被操縱的資料輸入。根據 LayerZero 的說法,這次攻擊之所以成功,是因為 KelpDAO 使用了單一 DVN,導致失去了任何備份驗證層。
當系統信任了這條虛假訊息後,未經抵押便釋放了約 116,500 rsETH,價值近 2.94 億美元。整個過程在數分鐘內完成,凸顯此類故障如何迅速惡化。這表明跨鏈系統面臨結構性風險,若驗證設計薄弱,可能引發快速損失並削弱市場信心。
基礎設施遭入侵導致失敗
4 月 18 日的 事件 指向一場協調行動,可能與 Lazarus 群體的 TraderTraitor 部門有關,目標是系統的資料層。該群體並未攻擊智能合約,而是專注於 RPC 節點,這些節點為網路提供交易資料。
這些節點會將資料傳入 DVN,這是一個用於驗證跨鏈轉帳是否有效的系統。攻擊者透過控制部分 RPC 節點,在保持監控工具正常回應的同時,篡改了用於驗證的資料。
由於防護措施仍處於啟用狀態,它們干擾了健康的節點,迫使系統依賴被篡改的數據,從而使虛假交易得以被視為有效。
這種方法表明,即使安全系統,如果其資料來源缺乏足夠的備份檢查而被過度信任,也可能出現故障。
DeFi 仍能依賴單一驗證者系統嗎?
KelpDAO 事件已將討論焦點從攻擊是如何發生,轉向系統設計本身是否仍具可行性。該橋樑依賴單一驗證者,以降低成本並提升速度,因此許多協議採用了類似設置。然而,此設計假設單一可信來源始終會正確運作。
一旦該假設失敗,損失迅速攀升至近 294 億美元,顯示出該結構的脆弱性。這一結果凸顯出效率是以韌性為代價的,尤其當越來越多價值在鏈間流動時。
分析師 Darkfost 強化了這一轉變,指出 LayerZero 將不再支援單邊 1/1 DVN 設置,表明正遠離弱勢配置。這意味著 DeFi 現在可能更重視冗餘,即使這會增加成本並減緩執行速度。
最終摘要
- KelpDAO 遭駭事件顯示,單一驗證者設計導致 294 億美元損失,暴露了跨鏈驗證系統的結構性安全漏洞。
- 此事件推動去中心化金融朝向多重驗證安全發展,因為過度依賴單一信任點會增加系統性風險並削弱信心。