Chainalysis警示DeFi盲点:KelpDAO跨链漏洞致2.92亿美元损失

Chainalysis警示DeFi盲点:KelpDAO跨链漏洞致2.92亿美元损失

N
News Editor 01
2026-07-08 15:16:13
Chainalysis指出,KelpDAO/rsETH约2.92亿美元事件暴露出跨链桥信任假设缺陷。攻击并非源于智能合约代码漏洞,而是利用LayerZero验证配置与RPC依赖,伪造销毁事件并释放资产。
ChainalysisDeFi安全跨链桥KelpDAOLayerZero

区块链分析公司Chainalysis近日披露,KelpDAO旗下rsETH基础设施遭遇约2.92亿美元的DeFi安全事件,进一步暴露出跨链桥设计中的关键盲点。该机构强调,这次攻击并非传统意义上的智能合约代码缺陷所致,而是源于跨链系统底层的信任假设出现问题,导致被操纵的数据输入绕过防护机制,最终触发大额资产错误释放。

问题不在代码,而在跨链信任模型

根据Chainalysis的分析,攻击者瞄准的是KelpDAO所依赖的LayerZero跨链基础设施,并利用其1/1验证者仲裁配置以及对少量RPC端点的依赖,制造出单点失效风险。一旦这些RPC端点被攻破,验证流程就可能在缺乏更广泛共识的情况下接受未经授权的信息。

Chainalysis指出,这意味着系统在代码层面或许仍“按设计运行”,但由于外部数据完整性被破坏,安全机制未能识别异常状态。该公司在社交平台X上表示,这起KelpDAO/rsETH跨链桥事件“凸显了DeFi安全中的一个关键盲点”。

伪造销毁事件,引发错误铸造与释放

在这次事件中,攻击者通过控制RPC端点,篡改了验证者接收到的数据输入,使系统误以为源链上发生了一笔有效的销毁事件。基于这一虚假状态,跨链桥确认了相关消息,并在以太坊上向攻击者释放了116,500枚rsETH。然而,实际上并不存在对应的真实销毁行为。

这一过程直接破坏了跨链桥最核心的资产守恒原则——被销毁的资产数量应与被释放或铸造的资产数量保持一致。Chainalysis特别强调,标准安全检查之所以未能拦截,是因为从代码执行角度看,相关交易流程并没有偏离预设逻辑;真正出错的是系统所信任的外部状态本身。

Chainalysis呼吁加强实时监控

围绕此次事件,Chainalysis发出更广泛的安全警示:仅仅识别恶意代码已经不足以应对现代DeFi攻击,协议还必须具备识别“系统进入不可能状态”的能力。换言之,安全防线不能只停留在代码审计层面,还要能够持续验证跨链状态是否前后一致。

该机构建议,协议方应部署持续监控与不变量追踪框架,实时检测跨链资产锁定、销毁、释放和铸造之间是否存在不匹配。一旦发现资产数量不平衡或消息状态异常,系统应尽早触发暂停或限制操作,以防损失继续扩大。

从行业角度看,这起事件再次说明,随着多链互操作性持续扩大,跨链桥已成为DeFi安全中最脆弱也最关键的一环。对于依赖外部验证网络、RPC节点与消息中继层的协议而言,单纯依靠智能合约审计已难以覆盖全部风险,端到端状态验证和实时风控正在成为新的安全重点。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
100

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。