凍結7100萬美元，已流失1.75億美元：Kelp DAO駭客如何洗錢2.92億美元被盜以太幣

Arbitrum 迅速行動。週一晚間，Arbitrum 安全委員會凍結了超過 30,766 ETH（約 7,100 萬美元），這些資金存放在 Arbitrum One 上一個直接與 KelpDAO 攻擊事件相關聯的錢包中。該委員會表示，他們根據執法部門提供的資訊，採取了他們認為是關於攻擊者身份的行動，並且此次行動並未影響任何其他 Arbitrum 用戶或應用程式。DeFi 環境很少能在即時情況下實現這種程度的鏈上干預，因此這對 Arbitrum 來說是一個真正果斷的行動。

駭客行動更快。在 Arbitrum 宣佈消息墨跡未乾之際，區塊鏈情報公司 Arkham 追蹤到嫌疑犯將 75,701 ETH（約 1.75 億美元）從以太坊地址轉移到新創建的錢包中。週二歐洲交易時段，共進行了兩筆轉帳，一筆為 1.17 億美元，另一筆為 5,800 萬美元。鏈上調查員 ZachXBT 向我證實，這些非法所得資金已開始跨鏈轉移。洗錢階段已經開始。

儘管 Arbitrum 凍結了約 25% 的被盜總額；但其餘 75% 仍在積極轉移中。

攻擊如何發生

如果有人錯過，在 4 月 18 日週六，攻擊者利用 Kelp DAO 基於 LayerZero 的 跨鏈橋漏洞，利用一個缺陷，使其能夠提領 116,500 rsETH（當時價值約 2.91 億美元）——約佔當時流通 rsETH 總量的 18%。透過向橋提供偽造指令，攻擊者使其將 rsETH 釋放到他們控制的一個地址。攻擊者隨後將這些被盜代幣存入 Aave、Compound 和 Euler，作為抵押品，以借入數億額外的封裝以太幣。

Kelp 的橋在超過 20 個網路中擁有支援 rsETH 的儲備，因此這次事件立即產生了連鎖反應。迄今為止，至少有九個協議被迫凍結其市場或採取其他緊急措施。單是 Aave 就看到 在數小時內有 66 億美元的 TVL（總鎖定價值）離開其平台，其代幣價值下跌了 16%。現在 Aave 已經發布了其事件報告，它估計其壞帳風險在 1.23 億美元到 2.3 億美元之間，具體取決於 Kelp DAO 如何在其 Layer 2 頭寸中分配其虧損。

因此，這次 DeFi 駭客事件已經超越了兩週前的 Drift 駭客事件，使其成為 2026 年迄今為止最大的 DeFi 駭客事件。

Kelp 與 LayerZero 之間的責任歸屬遊戲

Kelp DAO 和 LayerZero 正在公開爭論誰應為導致攻擊的配置錯誤負責，而調查人員則繼續調查資金是如何流失的。其中一個原因是單一所有者作為唯一驗證者，負責驗證跨不同鏈傳送的每條訊息是否有效。如果這個單一所有者被入侵，那麼整個橋就會被入侵。

LayerZero 堅稱他們向 Kelp DAO 提供了用於構建的基礎設施。Kelp DAO 則堅持他們使用單一所有者是基於 LayerZero 的 SV 標準配置，這意味著這並非 Kelp DAO 的選擇。誰應負責的結果對於任何未來的法律補救措施都很重要，但不會影響那些蒙受損失者的財務損失。

雙方現在實際上都承認，存在一個災難性的配置，無法抵禦入侵，並且在一個擁有數億美元跨鏈價值的橋上運行（這就是將雙方聯繫在一起的原因）。本來應該有人發現這個問題，但沒有人發現。

北韓的陰影

安全研究人員和多家媒體已經指出，Kelp 攻擊的模式、規模以及洗錢的速度，都與北韓 Lazarus Group（拉撒路集團）的作案手法（modus operandi）高度吻合 。Drift 和 Kelp 兩起攻擊事件在短短兩週多一點的時間內，總共造成了超過 5 億美元的資產流失。分析師認為，這種資金外流反映的是一個受制裁國家對資金的需求，而非以這種速度運作的投機駭客。

拉撒路集團曾與歷史上一些最大的加密貨幣盜竊案有關，包括 2022 年發生的 6.25 億美元 Ronin Network 駭客事件。該集團以利用被攻陷的驗證者設置來利用跨鏈基礎設施而聞名，並透過各種隱私工具和鏈跳轉快速有效地轉移被盜資金，以阻礙調查人員追蹤其被盜資產的能力。Kelp 攻擊與這些作案手法相符。雖然尚未證實歸因於拉撒路集團，但顯然執法部門已向 Arbitrum 安全委員會提供了足夠關於 Kelp 攻擊者身份的資訊，足以授權上述凍結——這暗示調查人員的進展已超出公開聲明的內容。

接下來會發生什麼

未經 Aave 治理部門的批准，任何人都無法動用被凍結在 Arbitrum 中的 7,000 萬美元資金。這代表了一筆可觀的已追回資金，且所有事件發生之快尤其令人印象深刻。然而， 有 1.75 億美元已轉移到新的錢包，使得追回比僅在單一區塊鏈上發生要困難得多。考慮到被盜資金的總價值之巨大，FBI 和 IRS-CI 很可能正在合作進行調查，但將這次調查轉化為實際資產將需要數月甚至數年，而非僅僅幾天。

關於 Aave 的壞帳/貸款追回，他們首要的問題將是如何處理這筆損失。部分損失可能可以透過使用「傘狀安全儲備金」（Umbrella Safety Reserve）來彌補，但如果不足，任何額外的損失將必須透過協議的「回補機制」（backstop mechanism）由 stkAAVE 持有者承擔。這將首次對 Aave 治理部門構成巨大壓力，要求他們以前所未有的方式採取行動，以保護 stkAAVE 持有者免受損失。

截至目前，Kelp 攻擊事件發生至今僅約 72 小時。調查仍在進行中；被盜資金的洗錢活動正在發生；而此次攻擊的總損失金額尚未確定。顯然，Kelp 攻擊事件的作案者在執行駭客行為之前，已經準備了一個精心策劃的方案，以利用這些情況。