2.92 億美元 Kelp DAO 駭客事件：為何跨鏈橋仍是業界最薄弱環節

事件概述

2026 年 4 月 18 日，駭客與北韓 Lazarus 集團有關聯，透過偽造訊息攻擊 Kelp DAO 的 LayerZero 跨鏈橋，竊取了約 2.92 億美元（相當於 116,500 枚 rsETH）的資金。此事件被視為 2026 年 DeFi 領域迄今為止最大的安全事件。

技術漏洞分析

攻擊者利用 Kelp DAO 基於 LayerZero 協議的單簽者 DVN（Decentralized Validator Node）機制，成功偽造了跨鏈訊號。系統在接收到被篡改的訊號後，釋放了未回補的 rsETH，使攻擊者得以將資金轉移到 Aave 等借貸平臺，最終造成巨大損失。

結構性風險

CoinDesk 指出，此問題具有結構性。只要跨鏈橋依賴複雜系統、共享基礎設施以及隱藏的信任假設，安全漏洞就難以完全消除。此次事件暴露了 DeFi 跨鏈基礎設施的脆弱性，顯示該領域的「管線」目前仍由媒體評論家形容為由膠水黏合，而非堅固的結構。

行業影響

此次駭客事件不僅影響 Kelp DAO，更引發了整個加密借貸市場的連鎖反應。資金迅速流向 Aave 等中心化借貸平臺，顯示跨鏈橋的失守對整個 DeFi 生態系統造成了廣泛的衝擊，也再次凸顯了跨鏈橋作為業界最薄弱環節的地位。