今年4月,Kelp DAO生態遭遇了一場震動整個DeFi行业的安全事件。攻擊者利用跨鏈橋驗證體系中的異常驗證機制,成功偽造跨鏈消息,最終導致超過2.9億美元資產被非法轉移。由於Kelp團隊及時暫停協議,額外超過1億美元的偽造轉賬未能成功執行,否則損失規模還將進一步擴大。

6月2日,鏈上數據已經給出了最新答案。根據分析師的持續追蹤,原本未被凍結的約2.2億美元資產目前已經基本完成洗錢流程,僅剩約170萬美元仍停留在最初攻擊地址中。這意味着,除了被凍結的7100萬美元資產之外,大部分被盜資金已經脫離可追蹤狀態。

從驗證機制失效到2.9億美元損失

根據Kelp DAO後續披露的信息,攻擊並非發生在rsETH本身的智能合約層,而是出現在跨鏈消息驗證環節。攻擊者成功获得了驗證網絡對一筆不存在交易的簽名確認。

Kelp DAO 跨鏈橋驗證機制異常流程分析

圖 1:Kelp DAO 跨鏈消息驗證異常導致虛假交易簽名確認示意圖

在正常情況下,跨鏈橋需要依賴驗證節點確認源鏈交易真實存在後,目標鏈才會執行對應資產鑄造或釋放操作。然而此次事件中,攻擊者構造出虛假的跨鏈消息,並成功騙過驗證系統,使橋接協議誤認為鏈上已經發生真實資產轉移。隨後,大量rsETH被非法鑄造並轉移至攻擊者控制地址。Kelp DAO隨後緊急暫停協議運行,並阻止了另外兩筆超過1億美元的偽造跨鏈消息繼續執行。從最終結果來看,實際損失約為2.92億美元。

德爾泰分析認為,此次事件最大的警示並非單一漏洞本身,而是跨鏈生態長期依賴的驗證網絡成為了新的風險集中點。當驗證層被突破時,即使鏈上合約代碼完全正常,攻擊者依然能夠获得系統認可的“合法資產”。

2.2億美元是如何被一步步洗白的

4月20日,Arbitrum安全委員會凍結了約30,766枚ETH,價值約7100萬美元。這也是整個事件中唯一被成功控制的大額資產。

Arbitrum 安全委員會緊急凍結資金流向

圖 2:Arbitrum 安全委員會在以太坊主網與 Layer 2 觸發的緊急攔截機製圖譜

而就在凍結發生後的第二天,大規模洗錢行動正式開始。攻擊者首先將約75,701枚ETH拆分轉移至多個新建地址。隨後資金開始進入複雜的多層匿名化網絡。根據多位鏈上調查人員重建的路徑,整體流程大致可以概括為:ETH拆分轉移、跨鏈兌換、匿名化混幣處理、BTC網絡流轉、再次跨鏈返回以太坊生態、多地址分散存儲

2.2 億美元被盜資產鏈上洗錢混幣路徑

圖 3:被盜資產通過多跳轉賬、隱私混幣網絡與跨鏈交換的拓撲洗白全景

攻擊過程中,大量資金通過跨鏈協議、隱私工具以及混幣系統不斷進行拆分和重組。短時間內,相關協議交易量出現異常暴漲。部分鏈上基礎設施單日交易量甚至達到平時的數倍乃至十倍以上。

德爾泰認為,這類攻擊已經不再是傳統意義上的“盜幣”。現代鏈上洗錢體系更像是一套自動化資金處理網絡。從盜取資產開始,到完成匿名化、跨鏈遷移、地址拆分和重新聚合,整個過程往往能夠在數小時至數天內完成。對於調查機構而言,越早凍結資產,追回成功率越高。一旦資金進入多層匿名網絡,追蹤成本將呈指數級增長。

LayerZero與Kelp的爭議背後暴露了什麼

事件發生後,關於事故責任的爭論持續至今。Kelp方面認為,其采用的驗證配置來自官方默認推薦方案,並且此前已經获得相關團隊確認。而另一方則認為,低門檻驗證配置本身提高了系統風險。事實上,從公開數據來看,當時大量跨鏈應用都采用類似驗證模式。這意味着問題並不僅僅屬於某一個項目。

更深層次來看,此次事件暴露出跨鏈行业長期存在的一個現實問題:很多項目關注鏈上合約安全,卻忽視了鏈下驗證基礎設施的風險。驗證節點、RPC服務、簽名系統、監控系統等鏈下組件,實際上同樣屬於安全邊界的一部分。如果這些基礎設施遭到入侵,那麼攻擊者完全有機會繞過鏈上合約本身的防護機制。

德爾泰分析認為,未來跨鏈安全的核心競爭力,已經不再只是智能合約審計能力,而是整個驗證體系和基礎設施的安全架構。

7100萬美元或成為唯一可能追回的資產

截至目前,約7100萬美元被凍結資產仍處于法律和監管程序之中。這部分資產也是整個事件中唯一仍具有實質追回可能性的資金。與此同時,Kelp已經完成用戶補償和協議恢復工作。項目方啟動資產恢復計劃後,重新開放了rsETH功能,並開始將跨鏈架構遷移至新的跨鏈通信體系。對於用戶而言,協議運行已經逐步恢復正常。

但對於整個行业而言,事件留下的問題遠未結束。根據公開統計,近年來大型跨鏈橋攻擊事件造成的損失已經累計達到數十億美元規模。而Kelp事件再次證明了一點:當攻擊者突破驗證層之後,真正的戰場往往不在漏洞修復階段,而是在後續資產追蹤與凍結階段。

結語

此次事件中,超過2.2億美元資金最終完成洗白,說明鏈上追蹤雖然能夠重建完整資金路徑,卻未必能夠阻止資產最終流失。對於行业來說,未來跨鏈安全的發展方向或許已經十分明確——不僅要防止攻擊發生,更要建立更快速的凍結機制、更高效的風險聯動體系以及更完善的資產追蹤能力。

遭遇平颱風控或資產受限?聯繫德爾泰获取專屬合規自證方案

圖 4:德爾泰(Delta & Capital)硬核區塊鏈合規、風控申訴與鏈上法證方案