LayerZero 提交 $23M 至 Kelp DAO 盗用事件恢复基金

LayerZero 承诺 10,000 ETH (大约 $23 百万)，以支持 DeFi United 救援联盟，此前在遭受 $292 百万 Kelp DAO 漏洞之后。LayerZero 承诺 5,000 ETH 直接投入恢复基金，并再承诺另外 5,000 ETH 交给 Aave，同时还承诺为 GHO 流动性提供额外支持。该承诺发生在五天后：当时竞争平台和机构已经宣布对恢复行动投入重大资金。DeFi United 作为救援联盟成立以来，已发布一份依赖于分阶段将 ETH 存入 Kelp 的锁箱合约，并对攻击者剩余持仓进行清算的技术性恢复计划。

$292 百万 漏洞：机制与影响

在 2026 年 4 月 18 日，攻击者通过向其喂入伪造数据以模拟真实交易，从 Kelp DAO 窃取了 $292 百万。Kelp 在 46 分钟后停止了进一步尝试，但系统已经在一笔交易中释放了第一批 116,500 份 rsETH。LayerZero 指责 TraderTraitor（朝鲜“拉撒路集团”的一个分支），该分支被关联到 2026 年 4 月 1 日的另一起 $285 百万 黑客事件。两起事件合并后，“拉撒路集团”仅用 18 天就通过两种不同的攻击手法从 DeFi 挖走了超过 $575 百万。

攻击者没有把被盗代币倾倒到公开市场，而是将大约 90,000 rsETH 存入 Aave，并借走了价值约 $190 百万 的真实 ETH 以及其他资产，使得 Aave 出现坏账，而协议未能修复。Aave 的总锁定价值 (TVL) 在数天内下跌约 $13 十亿$32 ，从 (十亿)降至 $20.3 billion，用户由于流动性耗尽而无法提取 USDC 或 USDT。

问责与 LayerZero 的延迟回应

对该漏洞的责任指向了 Kelp DAO 和 LayerZero。Kelp DAO 的 1-of-1 验证器设置较弱，导致它成为单点故障，因为只有一个 LayerZero 验证器能够验证消息。尽管 LayerZero 警告多验证器选项更安全，但 Kelp 表示所使用的默认设置就是 LayerZero 描述的那种。

Ripple 首席技术官（名誉）David Schwartz 对 LayerZero 的解释提出担忧，并指出 LayerZero CEO Bryan Pellegrino 之前的评论：没有任何应用只使用 LayerZero 分布式验证者网络 $300 DVN(，他称这些说法是假的。X 用户反应强烈：许多人指责 LayerZero 对事件负责，并批评该公司在其他机构开出大额支票后并未立即向 Aave 捐赠援助。

LayerZero 延迟五天才承诺资金，发生在恢复基金总承诺额已经跨过 )百万 之后。Consensys 和 Joe Lubin 承诺了 30,000 ETH，而在 LayerZero 行动之前，Mantle 已在低利率下发放了 30,000 ETH 贷款。Stani Kulechov ###Aave founder( 在 X 上发帖并承诺 5,000 ETH，而 Kelp 贡献了 2,000 ETH——就在 LayerZero 作出承诺之前。

DeFi United：联盟结构与恢复计划

DeFi United 是在攻击发生后为 Aave 提供支持而成立的救援联盟。根据报道，14 个实体加入并通过赠款、存款以及授信额度为救助 Aave 用户提供了支持。

) 计划向 DeFi United 的承诺

恢复计划包含两个主要部分。第一，支持者将把其承诺的 ETH 缓慢转换为 rsETH，并存入 Kelp DAO 的桥合约。第二，他们将通过特殊程序清算攻击者在 Aave 和 Compound 上剩余的持仓，以回收更多资金。Arbitrum 也已从攻击者的钱包中冻结了 30,766 ETH，因此一旦治理批准，绝大部分缺失资金都将被追回。

对 DeFi 的系统性影响

根据 Galaxy Research，DeFi 在仅 20 天内、跨 12 个或更多协议就损失了超过 百万。构建在 LayerZero 之上的应用现在必须升级到更强的多验证器配置，因为 LayerZero 现在拒绝任何使用 1-of-1 验证器的应用。

尽管 DeFi 运行在“没有任何单一组织控制系统”的原则之上，但此次恢复行动揭示了对中心化权力的依赖：Arbitrum 批准了紧急行动，Circle 冻结了钱包，而 Aave 则紧急推动了治理投票。剩下的问题是：该系统是否证明自己能够处理自我恢复，还是因为中心化参与方介入才得以幸存？答案取决于各协议是否会在下一次来袭攻击之前升级其系统。