Kelp DAO 2.9 亿美元被盗谁负责？LayerZero 预设配置成关键

一起高达2.92 亿美元的黑客风暴，不仅创下今年DeFi 领域最大窃案纪录，更在币圈掀起一场推卸责任的罗生门。面对外界猛烈炮火，流动性再质押协议Kelp DAO 周一发布声明，强硬反击外界对其疏失的指控，并将防护破口的大锅，狠狠甩向跨链懂提供商LayerZero 。

回顾4 月18 日，基于LayerZero 跨链懂构建的Kelp DAO 惨遭骇客洗劫，损失多达116,500 枚rsETH 代币，总值约2.92 亿美元，写下今年以来DeFi 领域规模最庞大的骇客事故。

针对这起攻击，LayerZero 周日率先发布初步调查报告，指出幕后黑手极可能是恶名昭彰的北韩骇客组织「拉撒路集团（Lazarus Group）」。

报告揭露，骇客首先攻入LayerZero 去中心化验证网路（DVN，负责验证跨链讯息真伪的节点网路）所使用的RPC 节点列表，随后对其中2 个RPC 节点进行投毒，并向剩余的RPC 节点发起DDoS 攻击，迫使系统切换到被篡改的节点，让DVN 接收虚假的跨链讯息，最终签署了这笔未经官方授权的盗币交易。

在报告中，LayerZero 批评Kelp DAO 采用了极度脆弱的「1-of-1 DVN（单一验证节点）」配置。 LayerZero 强调，这种设计缺乏独立的验证机制，形同在系统中埋下「单点故障」的致命隐患，导致网路无法拦截虚假的跨链讯息。

LayerZero 指出：「我们与外部专家早前就曾多次建议Kelp DAO，应该分散DVN 的节点配置以提高安全性，但尽管有这些建言，Kelp 仍执意采用1-of-1 的DVN 配置。」

面对「不听劝告」的严厉指控，Kelp DAO 随即在社群平台X 上开炮反击，直指这个酿成大祸的「1-of-1 DVN 配置」，根本就是LayerZero 官方一手促成的。 Kelp DAO 在声明中反驳：

所谓的单点验证配置，白纸黑字写在LayerZero 的官方技术文件中，这本来就是任何新建全链同质化代币（OFT，允许代币在多链间无缝转换的代币标准）时的「预设选项」。自2024 年1 月以来，Kelp 就一直在LayerZero 的基础设施上运行，并始终与LayerZero 团队保持开放的沟通管道。

Kelp DAO 进一步表示，当初协议准备扩展至Layer 2 时，双方就曾针对DVN 配置进行过深入讨论，而单一验证节点的预设设定在当时更获得了LayerZero 官方「明确确认为适当」。

「一个具有双方共识且准确的事件还原过程，才是我们共同做出正确补救措施的基础，」Kelp DAO 语带双关地呼吁，暗示LayerZero 不应在此刻急于推卸责任。

尽管双方仍在为资安漏洞的责任归属唇枪舌战，Kelp DAO 强调，团队在事发第一时间已采取了果断的危机处理措施，包含紧急暂停运行相关智能合约，并将与骇客关联的钱包地址全数列入黑名单，成功控制住灾情范围，避免损失进一步扩大。

目前，Kelp 团队正在审慎评估下一步的安全强化行动，力求尽快让协议安全恢复运行。