Kelp DAO 遭盜引爆爭議：跨鏈橋與 L2 安全敘事面臨信任考驗

作者：古宇，ChainCatcher Kelp DAO 失竊事發逾 40 小時，連鎖效應持續擴大，Aave、LayerZero、Arbitrum 等頭部項目相繼被捲入，部分熱門敘事甚至被形容為"宣告死亡"。KOL 馮無相在 X 指出，現時只有 ETH 安全，並稱 ARB 已授權凍結客戶資產，"L2 已經不再是 L2"，"L2 隨 Arbitrum 而起，也會隨 Arbitrum 而落"。另一位 KOL 藍狐則認為，Kelp 事件最大輸家不是 Aave 或 Kelp，而是 LayerZero；但他同時指出，事件本質並非否定 L2（即使是"假 L2"也無傷大雅），而是對跨鏈橋模式的否定。 在輿論持續升溫下，各方各執一詞、互相指責，Kelp DAO 失竊亦成為觀察安全責任歸屬、以及「務實安全」與「技術原教旨」衝突的典型窗口。 一、L0 被證偽了嗎？跨鏈橋承受最大反噬 爭議核心來自 LayerZero 昨日發布的攻擊調查報告。報告初步將事件歸因於疑與北韓相關的 Lazarus Group。LayerZero 指，攻擊者滲透其去中心化驗證網絡（DVN）所依賴的下游 RPC 基礎設施，控制部分 RPC 節點，並配合 DDoS 迫使系統故障切換至惡意節點，繼而偽造跨鏈交易。 Animoca Brands 投資與合作主管 Samuel Tse 表示，"以被攻陷節點污染 RPC 基礎設施，再對未受影響的 RPC 發動 DDoS 迫使 failover，屬極高階的打法，本質上是基建層面的戰爭。" 報告末段，LayerZero 強調協議在事件中"完全按設計運作"，未發現協議漏洞；並稱其模組化安全架構成功把風險隔離在單一應用之內，對其他 OFT 或 OApp 沒有傳染風險與影響。這種近乎全面切割責任的表述，反而引爆更大反彈。 研究員 CM 質疑："L0 全文把責任推到 KelpDAO 的錯誤配置，聲稱自己零問題。為何會允許 1/1 配置？攻擊者如何取得內部 RPC 清單？在 DDoS 觸發 failover 後，為何驗證邏輯會盲目信任已被攻陷的 RPC，甚至沒有暫停驗證或做最基本的風控動作？" DeFi 開發者 banteg 亦表示不安：聲明稱"協議按預期運作"，並把事件描述為"RPC 節點被攻陷與 RPC 污染"，但他認為這實際上是其自身基礎設施被入侵；由於聲明未交代入侵如何發生，他不會急於重新啟用跨鏈橋。 Kelp DAO 隨後發布聲明，稱導致事故的單驗證者（1/1）並非其無視建議的選擇，而是 LayerZero 官方指引的預設設定；且被利用的 DVN 驗證網絡屬 LayerZero 自家基建。Dune 數據顯示，LayerZero 上 2,665 份 OApp 合約中，約 47% 採用 1/1 DVN 配置，即單一驗證機制，令行業系統性風險被放大。 市場共識逐漸形成：即使 LayerZero 本體未被直接入侵，其聲譽損害卻最大。若仍維持強硬立場，信任流失恐進一步擴散；LayerZero 需要就"容許弱配置"付出代價，否則跨鏈敘事可能動搖。外界亦要求其不僅提出明確技術改進，亦在資產賠付方案中承擔更大責任。 二、Layer 2 走到盡頭？Arbitrum 前所未見的凍結行動 L2 的爭論焦點，來自 Arbitrum 的凍結/挽回資產操作。今日中午，Arbitrum Security Council 宣布採取緊急措施，搶救黑客在 Arbitrum One 地址持有的 30,766 ETH，按當前估值約 7,100 萬美元。Arbitrum 表示，經深入技術調查與審議後，委員會識別並落地一項技術方案，可在不影響其他鏈狀態或 Arbitrum 用戶的前提下，把資金轉移至安全位置；原地址已無法動用資金，後續轉移須由 Arbitrum 治理權限推進，並與相關方協調。 據業內人士說法，Arbitrum Security Council 動用了一種具特權的 state override 交易類型（屬 ArbOS 組件，但幾乎從未使用）：攻擊者私鑰仍可簽名交易，但該地址上的 ETH 由鏈本身完成轉移。此類特殊交易可完全繞過私鑰，只能由鏈端注入（透過 sequencer／ArbOS 升級路徑，控制權在 Arbitrum Security Council）。 資料顯示，Arbitrum Security Council 由 Arbitrum DAO 選出的 12 人組成，任何決策需至少 9 票同意。 這一動作引發震盪。過往外界普遍認為，作為代表性 L2 的 Arbitrum 並無能力或權限處理用戶 ETH 資產，否則將衝擊區塊鏈去中心化精神。以往黑客事件中，USDT、USDC 等常由 Tether、Circle 迅速凍結以減損；但 ETH 作為原生資產，從未出現由鏈本身直接凍結或轉移的案例，超出大多數用戶預期。 支持者認為，關鍵時刻以更中心化方式處置並非缺陷，反而是優勢，例如"所有公司、銀行與受監管金融機構最終都會採用 L2 解決方案"。技術派則更不買帳："不需要私鑰、不需要授權、直接轉移"的能力，被視為重新定義了 L2 的去中心化邊界，令不少 L2 用戶感到不安。藍狐直言，事件踩中了 DeFi 的意識形態紅線："Not Your keys, not your coins." 結語：兩大敘事同時受審 LayerZero 堅持"協議按預期運作"，在技術表述上或許站得住腳，卻失去輿論與信任；Arbitrum 以特權交易挽回約 7,100 萬美元 ETH，成功止損，卻重創 L2 去中心化敘事。Kelp 失竊把兩個熱門命題推上被告席：跨鏈橋究竟是基礎設施，還是風險放大器？Layer 2 是以太坊可信的擴容，還是"看似去中心化的二級銀行"？ 事件更形成諷刺閉環：LayerZero 因單一驗證節點機制暴露"單點失效"而受創，最終卻要依賴 Arbitrum 以更中心化的特權機制挽回資產。行業被迫面對一個長期迴避的問題：當去中心化理想撞上安全的現實成本，市場願意犧牲哪一邊？ 除敘事爭論外，賠付方案同樣是焦點。即使 Arbitrum 以技術手段追回逾 7,000 萬美元，Aave 仍面臨接近 2 億美元壞賬，用戶利益如何保障仍待解答。在多數黑客事件中，數百萬美元損失已足以令協議元氣大傷，賠付往往不了了之；但此案涉及 Aave、LayerZero 等頂級項目，壞賬處置更受市場關注。 Aave 今日提出兩個壞賬處理方向：其一，由所有 rsETH 持有人共同承擔損失（全局分攤），Kelp DAO 對所有 rsETH（主網 + L2）統一作約 15% 的價值下調（depeg）；其二，只由 L2 的 rsETH 持有人承擔全部損失，主網 rsETH 維持原值。 至於 Kelp DAO 與 LayerZero 官方在賠付中扮演的角色，暫未有明確說法。從 LayerZero 報告中試圖切割責任可見，其立場更傾向"無責任即無賠付義務"。對一個估值數十億、為數百項目提供跨鏈基建的協議而言，以"技術性免責"回應由 DVN 預設配置引發的巨額損失，本身就對"基礎設施"的定義構成強烈反諷。 這更像典型囚徒困境：危機之下，各方傾向透過"利益切割"最小化自身損失，而非共同承擔責任修復信任缺口。以本次事件對行業的外溢影響而言，對 DeFi 可能是迄今最危險的一次囚徒困境。