Kelp DAO rsETH 桥遭攻击：约 2.92 亿美元被盗，夹在 LayerZero 验证器争议中

Kelp DAO 的 rsETH 桥遭遇由 LayerZero 验证器基础设施相关的安全漏洞打击，报道称约 2.92 亿美元被盗，并且还出现了两笔各超 1 亿美元的额外欺诈交易。最新报道称，攻击者（与朝鲜“拉撒路集团”关联）于 4 月 16 日利用 LayerZero 生态漏洞：先入侵 LayerZero Labs 的两个验证器 RPC 服务器并植入恶意软件，再对其余节点发起 DDoS，将协议签名引导至“假节点”。LayerZero 表示协议按设计运行，但使用“一对一（one-to-one）验证器模型”的应用将不再被允许签名。 目前出现了责任归属争议。LayerZero 指出风险来自 Kelp DAO 的“一对一验证器”配置；而 Kelp DAO 则称 LayerZero 在 2.5 年内、8 次集成会议中审阅其配置，未提出安全担忧。独立研究者也提到，LayerZero 公开部署默认代码中存在对“单一源验证”风险的提示。市场暴露同样值得关注：Dune Analytics 估算，过去 90 天内约 2,665 个 LayerZero OApps 中，近 47% 使用了一对一验证器，涉及约 45 亿美元资产处于类似风险之下。 对交易者而言，rsETH bridge 事件在短期偏利空，可能压制 DeFi 风险偏好：流动性可能冻结，TVL 可能快速下滑，桥/智能合约风险溢价也可能走高。中期关键在于受影响协议能否尽快完成从“一对一验证器”架构迁移，并让流动性与资金流恢复稳定。Kelp DAO 计划将 rsETH 桥从 LayerZero 迁移至 Chainlink 的跨链协议，全面采用 Chainlink 架构并逐步淘汰 LayerZero 标准。