KelpDAO指控LayerZero牵涉2940万美元黑客事件:冻结合约并指RPC/DVN遭入侵
KelpDAO称,自己遭遇2.94亿美元($294M)黑客事件的原因在于 LayerZero 的基础设施遭到攻击,而非Kelp 的自有系统被攻破。KelpDAO指出,两处由 LayerZero 托管的 RPC 节点被黑客利用;第三处 RPC 节点遭到 DDoS 攻击,导致节点功能出现异常。
面对事件,KelpDAO在 Arbitrum 与以太坊主网冻结了所有相关合约;同时封锁与攻击者相关的钱包,并启动 SEAL 911——一个7×24小时的免费热线,用于在安全威胁发生时将受害者与专业安全人员对接。
KelpDAO还表示,攻击者随后又尝试额外转走 40,000 rsETH(约 $95M),但由于系统已被及时加固,未能成功。
KelpDAO的不满主要指向其自2024年以来采用的安全设计:用于LayerZero跨链消息验证的 1-of-1 DVN(去中心化验证者网络)结构。Kelp认为,1-of-1 方案会制造单点故障;一旦该部分被攻破,攻击者即可绕过防护。
与此同时,Arbitrum 安全委员会冻结了与该事件相关的 30,766 ETH(约 $71M)。Aave 则冻结 rsETH/wrsETH 市场,并限制 WETH 活动、在多个网络下调借贷利率。Aave表示其智能合约未被入侵,但仍可能产生约 $177M–$290M 的坏账风险。据称,ZRO 价格影响不大,约 $1.63(24小时+5.57%)。
中性
中性。短期内的交易影响可能较为可控,因为KelpDAO、Arbitrum与Aave已采取强有力的风控措施(冻结合约/市场及相关资产),从而降低事件向更广泛链上流动性扩散、引发连锁清算的概率。但由于该事件规模达2.94亿美元,且指向LayerZero 1-of-1 DVN带来的“单点故障”风险,跨链与流动性质押板块的情绪在短期仍可能承压。
历史上,大型桥/跨链事故往往先导致相关生态出现快速、短暂的下跌;随后在以下条件满足后逐步企稳:(1)资金被冻结/保护;(2)对手方确认核心合约是否受损。此次Aave表示其智能合约未被攻破(但仍存在坏账风险),与上述规律相符。长期来看,交易者可能会重新定价“依赖LayerZero验证机制”的安全风险,并要求更保守的配置,这可能提高流动性质押相关代币(rsETH/wrsETH)及相关DeFi资产的波动。报道中ZRO价格波动有限(据称约+5.57%),表明市场可能在区分LayerZero代币的直接敞口与其基础设施风险,因此整体反应或不会像爆出的绝对金额那样剧烈。