事件核心观点 - 加密货币行业遭遇本年度最大的去中心化金融攻击事件 引发对DeFi应用安全性的根本性质疑[1] - 攻击者通过利用Kelp DAO桥接器的安全漏洞 非法铸造了价值约2.9亿美元的未抵押代币 并以此在Aave等借贷协议中制造了巨额坏账 进而触发了全行业的流动性危机[1][2] 攻击事件概述 - 攻击事件涉及Kelp DAO基于LayerZero的跨链桥被利用 攻击者非法铸造了116.5k rsETH[3] - 这些新铸造且无实际资产支持的代币价值约2.9亿美元[2] - 攻击者随后将这些代币存入Aave等主要借贷协议 作为抵押品借出了数亿美元的ETH[2] - 此举产生了巨额坏账 并引发了行业范围内的流动性危机[2] 攻击过程与技术漏洞 - 攻击分两个阶段迅速展开 首先利用Kelp DAO桥接器的弱点 随后从Aave抽走了数亿美元[3] - 第一阶段：LayerZero安全漏洞 - Kelp DAO的rsETH跨链桥依赖于LayerZero的消息基础设施[4] - Kelp DAO在配置中使用了最弱的安全模型 即1-of-1去中心化验证器网络设置 这使得由LayerZero Labs运营的单一验证节点拥有批准跨链消息的完全权限[4] - 尽管LayerZero事后声称其曾警告不要使用最低安全设置 并建议高价值桥接采用多验证器配置 但其协议仍允许1-of-1部署[5] - 据估计 LayerZero上约有47%的协议使用了相同的配置[5] - 攻击者利用了这一单点故障 伪造了有效的跨链消息 欺骗由LayerZero运营的桥接器将116.5k无抵押的rsETH直接铸造到攻击者控制的地址[5] - 第二阶段：Aave资金抽离 - 在获得非法代币后 攻击者立即将其rsETH存入Aave V3（以及SparkLend和Fluid等其他平台 但规模较小）[6] - 这个虚构的抵押头寸使得攻击者能够以其无抵押的代币借入大量WETH 据估计为Aave的贷方产生了超过2.62亿美元的坏账[7] 市场影响与连锁反应 - 在攻击事件发生后 敏锐的DeFi贷方出于恐慌在周末争相退出[8] - 这导致超过70亿美元的资产从主要协议中被抽离 其中包括从Aave流出的62亿美元 约占该借贷市场总锁仓价值的23%[8]