#Gate13周年现场直击

漏洞发生在2026年4月18日，约UTC17:35，目标是KelpDAO的由LayerZero支持的rsETH跨链桥。

总被盗金额
攻击者窃取了116,500个rsETH，约占rsETH流通总量630,000的18%，在漏洞发生时价值大约$292 百万美元。这已被确认是2026年最大的DeFi黑客事件。

攻击的执行方式：

攻击者的钱包通过Tornado Cash预先充值，向桥的OFT适配器提交了一个虚假的LayerZero消息(nonce 308)，欺骗合约释放了真实的rsETH，而没有在源链上进行相应的销毁。几分钟内，攻击者将被盗的代币转入Aave等借贷协议。然后，黑客利用被盗资金作为抵押，借出了超过$236 百万的WETH和其他资产。
此次攻击利用了路由上的一个薄弱的1对1DVN (Data验证网络)配置，形成了单点故障。

资金在链间的分布：

攻击者将部分资金转换为ETH，并在不同链间转移，约$178 百万在以太坊主网，约$100 百万在Arbitrum。

Arbitrum的紧急冻结行动：

Arbitrum安全理事会从Arbitrum One上的一个地址扣押了30,766 ETH，并将其转入一个冻结的中介钱包。此操作未中断网络或影响用户活动。除非治理批准，否则这些资金将保持锁定状态。
转账于4月20日晚上11:26完成。被盗资金不再由最初持有的地址控制。
安全理事会由12名当选成员组成，持有一个9/12多签钱包的钥匙，利用其紧急权力执行了冻结。这些资金再次转移需要经过正式的Arbitrum治理投票。

追回与剩余被盗资金：

Arbitrum安全理事会冻结了30,766 ETH($7,115万美元)，约占攻击者在链间累计的以太币的29%。
在Arbitrum冻结后，KelpDAO黑客将剩余的75,701 ETH($175 百万)转移到以太坊上，并开始洗钱。
链上调查员ZachXBT报告，攻击者已将150万美元从以太坊主网转到比特币，通过Thorchain，另外78,000美元通过Umbra转移。

幕后黑手是谁：

LayerZero将此次攻击归咎于朝鲜的Lazarus集团。攻击者涉嫌攻破LayerZero网络中的RPC节点，毒化了两个节点，并对第三个节点发起了DDoS攻击。

钱包/黑名单状态：

截至4月20日，ETH已被转移到一个冻结的中介钱包，切断了攻击者的访问。未来任何资金的转移都需要通过Arbitrum的治理流程并与相关机构协调批准。

DeFi市场反应：

4月18日，DeFi的总锁仓价值从264亿美元下降到周日早晨的近$20 十亿美元。AAVE代币下跌超过18%，存款者纷纷撤出资金。
Aave在V3和V4平台数小时内冻结了rsETH市场。SparkLend和Fluid也冻结了它们的rsETH市场。
ARB代币价格反应
发布时，ARB交易价格为0.124美元，过去24小时下跌了2.5%。

KelpDAO官方声明：

KelpDAO感谢Arbitrum安全理事会和生态系统利益相关者，表示团队在两天内与安全理事会成员紧密合作，成功执行了干预措施。他们特别表扬了Security Alliance的SEAL 911的卓越协调作用，为应对提供了关键的清晰指导。
KelpDAO表示正与生态合作伙伴协调恢复基金，并考虑下一步措施，包括解除暂停、损失社会化和与受影响方的法律协调。
Arbitrum官方声明
Arbitrum安全理事会表示：“安全理事会在执法部门的意见下采取行动，关于攻击者身份的输入，并始终权衡其对Arbitrum社区安全和完整性的承诺，而不影响任何Arbitrum用户或应用。”
理事会还表示，谨慎选择了一条既能隔离问题，又不干扰正常网络活动的路径。

社区与社交媒体舆情：

反应意见分歧明显。
链上安全专家Taylor Monahan将冻结行动描述为DeFi界共同对抗朝鲜黑客的举措，称这是行业的胜利。白帽黑客和Security Alliance创始人samczsun称这是黑客受害者的重大日子，并希望行业已意识到可以在保护用户的同时构建有用的产品。

批评者对治理中心化提出更深层次的担忧。一位用户写道，此举暴露了Arbitrum作为一个多签钱包可以单方面冻结资金的事实。另一位指出：“在最关键时刻，治理优先于去中心化。”

Arbitrum安全理事会成员Griff Green为此辩护，写道：“我们做出这个决定并不轻率，经过无数小时的辩论、技术、实践、伦理和政治讨论。但邪恶得逞只需善良的人袖手旁观。”
LayerZero与KelpDAO之间的争议
事件发生后，LayerZero与KelpDAO在安全配置上出现分歧，各方都指向协议设置的不同文档标准。

对用户和协议的安全教训：
此次事件暴露了桥接和预言机的高度互联如何将单一漏洞放大为整个生态系统的震荡。
社区和开发者总结的关键教训：
绝不依赖1对1DVN配置进行跨链消息传递，始终使用多验证器设置
应急暂停功能必须到位并经过测试，方能应对突发事件
KelpDAO在初次攻击后约46分钟，使用其紧急暂停多签冻结了核心rsETH合约，阻止了超过$100 百万的额外提款
跨链桥配置应由独立审计机构定期审查
协议必须审查预言机依赖和借贷市场的抵押风险

调查状态 (截止2026年4月22日)

Arbitrum冻结：完成。30,766 ETH已锁定在由治理控制的钱包中

执法部门：积极介入，向Arbitrum安全理事会提供身份信息

Lazarus集团(朝鲜)：被LayerZero归因为可能的攻击者

剩余约$175 百万在以太坊主网：仍在链上追踪中，洗钱进行中

KelpDAO恢复基金：正与生态系统合作伙伴协调

Arbitrum治理投票：待定，关于冻结资金的最终处置

中心化辩论：更大的问题
此事件重新点燃了加密货币中最古老的争论：如果资产可以被冻结，区块链还能真正去中心化吗？KelpDAO的干预证明，在像Arbitrum这样的Layer 2网络上，资产所有权仅受代码的紧急机制的绝对控制。

支持者认为此举是保护用户和维护网络稳定的必要措施。批评者则认为这显示了Layer-2系统中存在中心化控制机制，质疑无权限所有权的有效性。

类似协议的风险：

rsETH已部署在包括Base、Arbitrum、Linea、Blast、Mantle和Scroll在内的20多个网络上。随着桥的储备被耗尽，非以太坊部署的持有者面临其代币是否有足够支撑的疑问，形成了恐慌赎回的反馈循环，Layer 2上的恐慌赎回压力影响未受影响的以太坊供应。
在短短两周内，超过$500 百万被Drift和Kelp的漏洞转走，曾被视为孤立事件的漏洞如今似乎演变成持续的攻击行动。

最终市场展望：

KelpDAO的漏洞是对整个流动再质押和跨链消息传递行业的结构性警示。Arbitrum安全理事会的干预在规模和方式上前所未有，部分遏制了损失，但大部分被盗资金仍在流动中。这一事件加快了行业对多验证器桥接配置、更强预言机标准和更清晰应急治理框架的需求。DeFi桥的信任将需要重大安全升级，才能完全恢复。