好

#KelpDAOBridgeHacked
KelpDAO的橋接漏洞不僅僅是另一則加密貨幣駭客新聞標題。它是對DeFi中一個嚴重提醒：最大風險往往不是用戶每天信任的主要產品，而是其底層運作的基礎設施。

4月18日，一名攻擊者從KelpDAO的橋接設置中提取了116,500個rsETH，當時價值約2,900萬$293 美元。這幾乎佔rsETH流通供應的18%。多份報導將此描述為2026年迄今最大的DeFi漏洞。

使此事件尤為重要的是，核心的重質押模型本身似乎並未失效。報導指出，真正的弱點在於與LayerZero訊息傳遞相關的橋接配置。據稱，該路由使用了1對1驗證器設置，意味著只需一個被接受的驗證就能使假冒的跨鏈訊息看似有效。

簡單來說，如果一個橋只依賴一個檢查點，而該檢查點被破壞或濫用，整個系統就可能暴露。這正是為何橋接仍然是DeFi中最脆弱的點之一。

損失並未止步於KelpDAO。獲得rsETH後，攻擊者據報導將被盜的代幣作為抵押品在Aave上借出大量WETH。這將問題擴大到更廣泛的DeFi生態系統，因為一旦不良抵押品進入借貸市場，問題就會超出單一協議的範圍。

報導稱Aave已經凍結了rsETH市場，並估計損失約$196 百萬美元的壞帳，同時對傳染效應的擔憂迅速影響了更廣泛的市場情緒。

如今，這起事件已演變成責任之爭。LayerZero表示，漏洞僅限於KelpDAO的配置，並指出單驗證器設置是伪造訊息成功的原因。而KelpDAO則辯稱，該風險設置遵循LayerZero的官方默認配置，並依賴LayerZero運營的基礎設施。

換句話說，雙方都同意橋接路徑是問題的根源，但他們對於誰應該對讓這個設計大規模運行負責持不同看法。

此外，還出現了一個地緣政治角度的說法。報導指出，初步跡象可能指向北韓的TraderTraitor團體。這一歸屬仍處於早期階段，應謹慎對待，但它為已經逐漸成為年度加密安全事件之一的漏洞增添了另一層嚴重性。

這裡的真正教訓超越了KelpDAO。DeFi已經變得深度互聯。橋接連接不同鏈，重質押代幣在生態系中流動，借貸市場接受這些資產作為抵押品。這種組合性在繁榮時推動成長，但在失敗時也會迅速擴散損害。

一個脆弱的驗證器、一個偽造的訊息，以及一塊有毒的抵押品，可能瞬間影響到借貸者、流動性提供者、治理系統和用戶信心。

如果這次事件帶來任何改變，那應該是改變市場對「足夠安全」基礎設施的看法。一個協議可以擁有強大的品牌、快速的採用和堅實的核心機制，但如果其橋接假設薄弱，整個系統仍然脆弱。

KelpDAO的漏洞不僅僅是資金損失的故事，更是關於隱藏信任、風險默認，以及DeFi在低估基礎設施風險時所付出的代價。