• 攻击者在4月18日利用KelpDAO的跨链桥，盗取了116,500个重新质押的以太坊（ETH），价值约2.92亿美元。
• 此次漏洞在48小时内引发了超过130亿美元的DeFi总锁仓价值流出，波及了Aave、Compound、Morpho以及至少9个其他协议。
• 查尔斯·霍斯金森表示，Midnight的零知识证明和多方计算可以防止这种类型的攻击重演。

查尔斯·霍斯金森，卡尔达诺的创始人和以太坊的联合创始人，在怀俄明州发布的视频中详细分析了这次攻击，带领观众浏览一个自定义的人工智能（AI）生成的事件报告网站。

“标准DeFi威胁模型假设智能合约漏洞是主要风险，”霍斯金森说。“这已经不再是事实。”

他补充道：

“桥接可能非常麻烦。单一验证器不可靠。不要这样做。然后问题是如果他们盗取了资金，DeFi借贷就是退出条件。所以基本上，你可以存款，你可以借贷，而当你获得这些代币时，你得到的是与盗窃无关的代币，而抵押品实际上是被毒化的。”

攻击者提交了一个伪造的Layerzero消息，该消息达到了连接到Kelp的重新质押适配器的终端v2合约，然后释放了来自以太坊托管的代币。伪造的包声称源自Uni-Chain终端ID 30320。Kelp的跨链配置依赖于单一的去中心化验证器网络，这种一对一的设置使攻击者拥有了一个容易被攻破的单点。

被盗的代币并未直接在去中心化交易所（DEX）平台上出售，这样会导致价格崩溃。攻击者将重新质押的ETH作为抵押品存入如Aave等借贷市场，随后在Kelp或其合作伙伴冻结头寸之前，借贷液态包装以太币，然后带走与原始盗窃无关的资产。被毒化的抵押品仍留在借贷市场中。

Llamarisk于4月20日发布的联合事件报告确认有83,471个以太币（ETH）等值被分散在以太坊核心和Arbitrum的七个攻击者钱包中。报告概述了两种解决方案场景。第一个是在所有重新质押ETH持有者中分摊15.12%的损失，产生约1.23亿美元的不良债务，由以太坊核心的储备吸收。第二个是在第二层（L2）层级孤立损失，将代币重新定价为26.46%的保证金，并在Mantle、Arbitrum和Base集中产生约2.3亿美元的不良债务，而以太坊核心则未受到影响。

Aave单独就看到了66亿到84.5亿美元的流出。Arbitrum、Base、Mantle、Linia和Plasma的包装ETH池的利用率接近100%，有效地封锁了提款。至少有九个DeFi协议被归类为直接受影响，包括Compound、Morpho、Lido、Ethena、Pendle、Euler、Beefy和Lombard Finance。

KelpDAO、Layerzero和Llamarisk分别发布了三份事后分析报告。没有报告一致同意责任所在。Layerzero于4月20日宣布将不再为任何运行一对一DVN配置的应用签名或证明，推动整个协议迁移到多验证器设置。Kelp坚称Layerzero的默认配置在以太坊、BNB链、Polygon、Arbitrum和Optimism上装配了单一源验证，并且据称40%到50%的Layerzero OFT应用程序目前使用相同的一对一设置。

链上取证显示与被称为拉扎勒斯集团的国家赞助黑客组织有关，该组织与朝鲜相关联。没有独立的取证公司发布正式的归因，联邦调查局（FBI）也未公开发表评论。

霍斯金森指出，这次攻击证明了桥接验证失败已取代智能合约漏洞成为主要的DeFi威胁向量。他提到，在初次提款和Kelp的紧急暂停之间的46分钟窗口，表明事件响应是重要的，但无法赶上被盗资产在借贷市场中投放的速度。

“这次事件新颖之处在于 contagion（传染），”霍斯金森在视频中解释道。“这不仅仅是一次桥接攻击。它传播到了借贷，进而在这些借贷协议中产生了不良债务的传染。它引发了银行挤兑，而且我们在短时间内看到130亿美元的总锁仓价值因290万美元的黑客事件被抽走。这是一场信任危机。”

他将卡尔达诺的较低暴露视为其流动性、非托管质押设计的功能，这一设计消除了在Kelp中创造攻击面所需的质押到流动质押再到重新质押的包装链。霍斯金森认为，Midnight，卡尔达诺专注隐私的侧链，解决了相关的核心漏洞。

它的Nightstream协议将整个链状态折叠进与跨链消息一起传输的证明中，使伪造的消息在接受之前可验证。“当人们发送消息时，他们可以验证他们所看到的内容是否正确，”他说。Midnight上的多方计算支持将允许Layerzero部署即插即用的二分之三或五分之七的DVN配置，运营摩擦更小。

零知识证明将在验证层阻止被毒化的消息。网络匿名化将使这种类型攻击的DDoS组件更难以执行。他表示，包括据报道通过贿赂大型AI实验室内部人员而获取到的前沿模型在内的AI工具，正在使攻击者能够扫描整个代码库，寻找没有单一人工审查者可以检测到的新兴漏洞。

“黑客袭击是生活的一部分，”他说，“并且它们将对每个人变得更加恶化。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。