Kelp DAO 公開反駁一份將 rsETH 跨鏈橋事件定性為漏洞利用的報告,主張是 LayerZero 預設設定而非蓄意攻擊導致了據報的 2.9 億美元損失。這場爭議將 4 月 18 日的事件從外部漏洞利用重新定義為基礎設施配置故障。
rsETH 跨鏈橋攻擊報告的聲稱
據報損失了什麼
CredShields 發布的安全評估將 rsETH 跨鏈橋事件描述為涉及 Kelp DAO 跨鏈橋基礎設施的漏洞利用,引用了約 2.9 億美元的損失。該報告使用的語言與蓄意外部攻擊一致。
為何該事件被描述為跨鏈橋攻擊
CredShields 報告使用漏洞利用術語來描述該事件,暗示威脅行為者識別並利用了跨鏈橋機制中的漏洞。這種定性將該事件與其他高知名度的 DeFi 跨鏈橋駭客攻擊並列,而非將其視為營運故障。
然而,標題本身的措辭顯示這是一個有爭議的定性。Kelp DAO 的回應記錄在 Aave 治理討論串中,直接挑戰了漏洞利用優先的解釋。
為何 Kelp DAO 反駁攻擊說法
Kelp DAO 的核心反駁
Kelp DAO 在 Aave 治理討論中提出的反對立場完全拒絕攻擊標籤。該協議堅稱損失源於 LayerZero 跨鏈訊息傳遞預設配置的方式,而非來自對手發現新的漏洞利用途徑。
這不是微小的語義區別。將事件歸類為攻擊意味著在防禦外部威脅方面的安全疏忽。將其歸類為配置故障則將責任轉向基礎設施預設值和整合選擇。
報告中哪些部分受到質疑
Kelp DAO 對因果機制和隱含的敘事提出質疑。該協議不否認損失發生,但質疑 CredShields 對這些損失如何及為何發生的定性。
衝突是具體的:CredShields 報告將因果關係歸因於漏洞利用途徑,而 Kelp DAO 的治理反駁將因果關係歸因於 LayerZero 預設參數不足以保護所保護的價值。
LayerZero 預設設定如何成為焦點
預設設定在 Kelp DAO 版本事件中的角色
根據 Kelp DAO 在治理討論串中的說法,LayerZero 用於跨鏈訊息驗證的預設設定缺乏高價值跨鏈資產所需的安全保證。該協議主張這些出廠預設值創造了損失的條件,而不需要複雜的漏洞利用。
跨鏈訊息傳遞中的預設設定決定了交易如何在網路間驗證。如果保持不變,它們可能對 100 美元轉帳和 1 億美元轉帳應用相同的驗證門檻,創造與價值成正比的風險而沒有相應的安全性。
為何配置問題與攻擊聲稱不同
如果 Kelp DAO 的框架成立,該事件就成為構建於跨鏈基礎設施的協議與它們所依賴的訊息層之間的共同責任問題。這與外部攻擊者發現零日漏洞的情況根本不同。
另一份報告指出 LayerZero 承認拉撒路集團可能是相關跨鏈事件中的行為者,增加了複雜性。針對跨鏈橋基礎設施的國家級威脅行為者的存在並不會自動驗證此特定事件的漏洞利用或配置框架。
2.9 億美元損失對 rsETH 和 DeFi 風險的意義
為何 2.9 億美元數字重要
據報的損失使這成為 2026 年最大的 DeFi 事件之一。對於 rsETH 持有者和有 rsETH 曝險的協議,根本原因的確定直接影響復原預期、保險索賠以及對該資產未來的信任。
Aave 治理討論反映了下游協議如何重新評估對流動性再質押代幣的曝險。當此規模的跨鏈橋事件發生時,交易對手必須評估底層資產的基礎設施是否符合其風險標準,這與機構在複雜託管安排中持有大量 ETH 頭寸時提出的擔憂相似。
rsETH 持有者和交易對手接下來會問的問題
分類爭議具有實際後果。如果事件被裁定為配置故障,責任可能部分落在 LayerZero 的不當預設值上,部分落在 Kelp DAO 未覆蓋它們上。如果被裁定為漏洞利用,Kelp DAO 將面臨對跨鏈橋安全設計更嚴格的審查。
構建跨鏈功能的專案,包括那些為基礎設施開發尋求新資金的專案,將面臨關於其訊息層配置的更艱難問題。該事件突顯了 DeFi 安全標準的差距:目前沒有全行業要求強制協議在使用用戶資金上線前覆蓋預設跨鏈橋設定。
對於關注負責任治理和透明度的協議,這場爭議強調事件分類不僅僅是學術性的。它決定了誰付出代價、誰重建信任,以及跨鏈基礎設施部署方式的變化。
關於 Kelp DAO 和 rsETH 事件的常見問題
Kelp DAO 是否確認了 rsETH 跨鏈橋攻擊?
否。Kelp DAO 在 Aave 治理討論串中明確反駁了「攻擊」的定性,主張損失源於 LayerZero 預設配置設定而非外部攻擊者的蓄意漏洞利用。
Kelp DAO 將 2.9 億美元損失歸咎於什麼?
Kelp DAO 指向 LayerZero 用於跨鏈訊息驗證的預設設定,聲稱這些預設值不足以保護跨越跨鏈橋的價值。
為何 LayerZero 預設設定是爭議的核心?
預設設定決定了跨鏈訊息如何被驗證。Kelp DAO 主張未更改的預設值創造了導致損失的安全缺口,使其成為配置責任問題而非新穎的漏洞利用。
這被定性為駭客攻擊還是配置問題?
兩種框架都存在於公開記錄中。CredShields 報告使用漏洞利用語言,而 Kelp DAO 的治理反駁將損失歸因於預設設定。截至 2026 年 4 月,分類仍有爭議。
免責聲明:本文僅供資訊參考,不構成財務或投資建議。加密貨幣和數位資產市場具有重大風險。請務必在做出決定前自行研究。
來源: https://coincu.com/defi/kelp-dao-rseth-bridge-attack-report-layerzero-290m-loss/
