Kelp 两周后全面升级跨链桥、ether.fi 同步加固 WeETH

距 4 月 18 日 Kelp DAO rsETH 跨链橋遭駭、116,500 顆 rsETH（约 2.92 亿美元）被抽走的事件已过两週。Kelp 4 月 29 日公告完成跨链橋全面升級，ether.fi 同日同步公布 weETH 三層安全硬化方案並加入 DeFi United 集體救援，捐贈 5,000 ETH。LayerZero、Consensys、Mantle 等多方累積已动員逾 7 万 ETH 救援资金，DeFi United 从事件爆发进入結構性后處理階段。

Kelp 4/29 跨链橋升級：验证者改 4-of-4、Ethereum 唯一樞紐

原本攻擊者在 4 月 18 日利用 Kelp 跨链橋僅设定 1-of-1 DVN（Decentralized Verifier Network）的單点配置，偽造跨链訊息抽走 rsETH。Kelp 4/29 公告完成的硬化动作把验证机制与拓撲結構重新设计：

第一，验证節点从 1 个擴增为 4 个獨立 attestors—Canary、Horizen、LayerZero Labs、Nethermind—每條路徑进出皆需 4 个全部验证通过，攻擊者必須同时攻陷分屬四个獨立基礎设施与司法管轄区的安全运營，才能偽造一則跨链訊息。第二，所有链的区塊確认數从 42 提高至 64，提升重組攻擊（reorg attack）的成本。第三，拓撲結構从 full mesh 改为 hub-and-spoke，所有 L2 对 L2 的直接路由廢除，所有跨链訊息皆強制经由以太坊主網中转，移除 L2 之间的橫向依賴、縮小攻擊面積。

Kelp 在公告中強调「每一个偏离 LayerZero 预设值的设定都嚴格更強、絕不更弱」，並表示后续仍將「研究更安全的跨链基礎设施供应商」，留下未来換掉 LayerZero 的伏筆。

ether.fi 同步硬化 weETH 並加入 DeFi United，捐 5,000 ETH

ether.fi 4/29 18:13 UTC 公告：雖然自家 weETH 因事前已強制執行「2 个以上 DVN」设定、未直接受害，仍对 weETH 在全部 20 條部署链上執行協议級安全硬化。三層具體升級：

第一層 Message Library Pinning：把 SendUln302 与 ReceiveUln302 地址直接釘进 weETH 的 OApp 设定槽，LayerZero 的多簽钱包再也无法替換成繞过 DVN 验证的 library；第二層 DVN 配置釘选 + 4/4 门檻：固定四个 DVN 集合，每則跨链訊息需 4/4 全數通过，任何一个 DVN 不可用或被攻破都会直接中斷訊息；第三層 Pair-Wise Rate Limits：对每條 (来源链, 目的链) 路徑设定保守的进出 weETH 上限，限額由 ether.fi 自家合约直接控制、不受上游 bridge 提供商影響。

升級結果是「LayerZero 的多簽完全无法在链上修改 weETH 的 bridge 设定，所有安全參數皆由 ether.fi 自家多簽獨家掌控」。ether.fi 同步宣告加入 DeFi United、由其基金会捐贈 5,000 ETH 进入專责救援金庫，並評估引入 Chainlink CCIP 或 Wormhole 作为第二个跨链訊息提供商，且將於 6 月底前停用 weETH 在 Scroll、Swell、Bera、zkSync、Mode、Blast、Morph、Sonic 等链上的橋接服務。

DeFi United 滿两週：动員逾 7 万 ETH，USDC 借貸利率反应

由 Aave 主導发起、橫跨多个 DeFi 协议的 DeFi United 救援聯盟，自 4/24 起两週內快速擴張。主要捐贈与貢獻包括：LayerZero Labs 承諾逾 1 万 ETH（5,000 ETH 注入 DeFi United、5,000 ETH 注入 Aave 流动性池）、Consensys 承諾最高 3 万 ETH、Mantle 擬以 3 万 ETH 形式貸給 Aave、ether.fi Foundation 5,000 ETH、Puffer Finance 动用部分国庫资本、River 注入 300 万美元 USDT。DeFi United 募款 4/26 已突破 10 万獨立地址捐款。

救援资金的注入直接反映在 Aave 借貸市场的利率上。根據链上分析師 DefiScope 4/30 觀察，当 Mantle 公告 30K ETH 貢獻的訊息发布瞬间，Aave 上的 USDC 借貸利率从约 15% 直接降至 6.23%，市场利用率（utilization）从接近 100% 回落至 91.5%，主要对应约 1 亿美元的 USDC 还款流入（多为 USDe 套利槓桿解锁）。換言之，「集體救援」不只是公关动作，而是真实重塑借貸市场流动性條件的力量。

不过，事件的后處理仍未完成。链上觀察者指出，攻擊发生 12 天后，攻擊者仍持有约 107,000 顆 rsETH 在 Aave 与 Compound 上的抵押倉位，这些倉位至今未被清算。原因是 unwind 这些倉位需要 Aave 与 Compound 两边的治理提案、暫时性的 oracle 调整、多簽控制的清算流程、以及透过 Kelp 的贖回路徑—是一场「委員会式清算」，往往需數週才能完成。Aave 计劃从 7 个攻擊者地址回收这 107K rsETH。从技術硬化、集體救援动員、到呆帳回收，DeFi 对「事后處理」的協调能力，正在这次事件中接受第一场真正的壓力測試。

这篇文章 Kelp 两週后全面升級跨链橋、ether.fi 同步硬化 weETH 最早出现於 链新聞 ABMedia。