撰文:GoMoon
2026 年開年最大的 DeFi 黑客事件來了!4 月 18 號,Kelp DAO 的流動性再質押協議遭了殃,短短幾小時被黑客抽走 116500 枚 rsETH,按當時價算足足 2.93 億美元。
經安全研究員核查,Kelp DAO 的智能合約代碼沒漏洞,這 2.93 億美元的損失,根本不是代碼出問題,而是藏在個沒人在意的「配置參數」裡,堪稱年度最大安全教訓!
黑客咋操作的?
這次攻擊流程絲滑得反常,黑客全程就分了三步:
1. 鑽配置空子僞造消息:Kelp DAO 用的 LayerZero 跨鏈橋,有個關鍵配置叫 DVN 阈值,它選了「1-of-1」——也就是只需要 1 個驗證節點確認跨鏈消息就行。黑客直接攻破這唯一節點,僞造了假消息,騙以太坊主網鑄造了沒實際資産背書的 rsETH
2. 抵押套現借真金白銀:拿著這批假的 rsETH,黑客分散抵押到 Aave V3、Compound V3、Euler 三個借貸協議裡,一口氣借出了超 2.36 億美元的 WETH(真金白銀的穩定幣)
3. 火速撤場鎖死市場:當天黑客就帶著 2.36 億美元 WETH 溜之大吉,留下一地雞毛。Aave、SparkLend 這些平台趕緊凍結 rsETH 市場,可 Aave V3 alone 就面臨約 1.77 億美元的壞賬,最後這筆虧空,還是得由質押 aWETH 的用戶來承擔。
這次最該警醒的,不是黑客手段多高明,而是暴露了 DeFi 安全行業的「結構性盲區」——配置層漏洞,現有工具根本檢測不到!
咱們平時都知道,DeFi 項目都要做代碼審計,用 Slither、Mythril 這些工具掃代碼,找重入攻擊、整數溢出這些問題。可 Kelp DAO 的問題不在代碼裡,而在部署項目時填的那個 DVN 配置參數!
這個參數不進.sol 代碼文件,Slither、Mythril 掃不到,現有的 LLM 輔助審計也管不著。據相關研究,現有代碼審計工具最多只能檢測 8%-20%的可利用漏洞,而且前提是「漏洞在代碼裡」。
配置類漏洞已經成了 DeFi 安全的「隱形殺手」!2022 年 Nomad 跨鏈橋就是因為部署時初始化錯誤,被盜了 1.9 億美元;這次 Kelp DAO 是主動選了「1-of-1」的危險配置,同樣栽了跟頭。兩類配置漏洞加起來,已經造成約 4.82 億美元損失,和密鑰洩露類漏洞的損失規模不相上下!
可現在整個行業都在盯著代碼邏輯漏洞,訓練審計工具、優化檢測模型,沒人專門去管配置問題。就像這次,「1-of-1」的配置完全符合 LayerZero 的規則,不算違規,可就是這個「合規選擇」,直接導致了致命風險。
DeFi 安全從來不是「代碼無漏洞」就萬事大吉,那些藏在配置裡、運營裡的小細節,才是最該警惕的暗礁。希望這次的教訓,能讓整個行業都醒醒,別再讓 2.93 億的悲劇重演!
内容來源:TECHUB NEWS
更多精彩內容,請登陸
財華香港網 (https://www.finet.hk/)
現代電視 (http://www.fintv.com)