Kelp DAO 遭駭損失 2.92 億美元，LayerZero 承認決策失誤

事件概述

2026 年 4 月 18 日，去中心化金融（DeFi）協議 Kelp DAO 遭遇嚴重安全漏洞，導致約 116,500 枚 rsETH（價值 2.92 億美元）被盜。此事件被視為 2026 年最大的 DeFi 駭客攻擊，攻擊者透過汙染交易驗證過程，成功竊取了該協議的資產。

責任歸屬爭議

事件初期，Kelp DAO 將問題歸咎於開發者配置錯誤。然而，LayerZero（跨鏈橋接協議）隨後承認其承擔部分責任，表示在做出讓其驗證器批准該設置的決定上「犯了一個錯誤」。LayerZero 指出，Kelp DAO 在兩年內未提出安全疑慮，隨後才將矛頭指向 Kelp。

後續影響與行動

此次駭客攻擊導致 rsETH 被凍結，並引發了 Aave 等主流借貸協議的治理危機，因為被盜資產曾被用於借入其他資產。Kelp DAO 目前正計劃將 rsETH 遷移至 Chainlink CCIP 以尋求更安全的解決方案。此外，此事件也引發了對北韓黑客是否參與的猜測，以及對 LayerZero 設計問題的討論。