#KelpDAOBridgeHacked

KelpDAO 的桥接漏洞不仅仅是又一次加密货币黑客新闻标题。它是一个严肃的提醒：在 DeFi 中，最大的风险往往并不是用户每天信任的主要产品，而是其底层运行的基础设施。

4 月 18 日，一名攻击者从 KelpDAO 的桥接设置中洗劫了 116,500 rsETH，当时价值约 $290–$293 million。那几乎占 rsETH 流通供应的 18%。多份报告将其描述为 2026 年至今最大的 DeFi 漏洞。

此次事件之所以格外重要，是因为核心的重质押模型本身似乎并没有出故障。报告称，真正的薄弱点在于与 LayerZero 消息传递相关联的桥接配置。据称，该路由采用的是 1-of-1（1 对 1）验证器设置，也就是说，只要一次被接受的验证就可能让一条伪造的跨链消息看起来是有效的。

用更直白的话说：如果一座桥只依赖一个检查点，而这个检查点被攻破或被错误地使用，那么整个系统都可能暴露。也正因如此，桥接仍然是 DeFi 中最薄弱的环节之一。

损失并未止步于 KelpDAO。根据报道，在获得 rsETH 之后，攻击者据称将被盗代币作为抵押品用于 Aave，并基于这些抵押借出了大量 WETH。这样就把问题推向了更广泛的 DeFi 生态系统：因为一旦不良抵押品进入借贷市场，问题就会变得比单一协议更大。

据报道，Aave 冻结了 rsETH 市场，并估算由此带来的后果约为 $196 million 的坏账；而对“连锁蔓延”的担忧又很快影响了更广泛的市场情绪。

如今，这一事件已经演变成一场相互指责的争论。LayerZero 表示，该漏洞是孤立发生在 KelpDAO 的配置中，并指出正是单验证器设置导致了伪造消息能够成功。而 KelpDAO 则认为，这种有风险的设置遵循了 LayerZero 的文档化默认配置，并依赖由 LayerZero 运营的基础设施。

换句话说，双方都认同桥接路径是问题的根源，但他们对谁应当为这种设计能够在如此大规模上线而承担责任存在分歧。

同时，正在出现一种地缘政治层面的角度。报道称，初步迹象或许指向朝鲜的 TraderTraitor 组织。该归因仍然过早，应该谨慎对待，但它又为本已在走向成为今年决定性加密安全事件之一的漏洞增添了另一层严重性。

真正的教训不止于 KelpDAO。DeFi 已经变得深度互联。桥接连接各条链，重质押代币在不同生态之间流转，而借贷市场会将这些资产作为抵押品接入。正是这种可组合性在好时推动增长，但在发生故障时，它也会让损害以更快的速度扩散。

一个弱验证器、一条伪造的消息，以及一笔有毒的抵押品，都可能突然间同时影响放贷者、流动性提供者、治理系统以及用户信心。

如果这次事件能改变些什么，那么它应该会改变市场对“足够安全”基础设施的看法。一个协议可以有强势的品牌、快速的采用和扎实的核心机制，但如果它的桥接假设很薄弱，那么整个系统依然会保持脆弱。

KelpDAO 的漏洞不仅仅是关于损失资金的故事。这是关于隐藏信任、风险默认值，以及当基础设施风险被低估时 DeFi 付出的代价的故事。