Ripple首席技术官David Schwartz再次向去中心化金融(DeFi)领域发出警告,指出广泛使用的跨链桥可能存在与近期KelpDAO漏洞相同的结构性缺陷,而KelpDAO漏洞是2026年最大的加密货币黑客攻击事件之一。他在X上表示,他审查了多个 DeFi 基础设施,重点关注安全性和风险。.
就在几天前,攻击者从 KelpDAO 的 rsETH 桥中窃取了价值约 2.92 亿美元的资产,这一事件再次引发了人们对跨链基础设施安全性的担忧。.
根据他的研究,他发现大多数 DeFi 系统都配备了顶级的安全工具,但旨在防止 KelpDAO 式攻击的机制却被视为可选项。他表示,这主要是因为团队不愿承担额外的运维成本。.
他写道:“他们实际上普遍建议不要费心使用最重要的安全机制,因为这些机制会带来便利性和操作复杂性方面的成本。”
Ripple计划推出的RLUSD稳定币的桥接系统进行评估的过程。虽然许多协议在设计上看似稳健,但他认为,实际部署往往达不到预期效果,因为团队往往优先考虑便捷性和快速扩展,而忽视了严格的安全措施。
Schwartz表示, DeFi 平台优先考虑跨链扩展而非安全性。
施瓦茨在文章中还强调,跨链扩张的浪潮催生了一种“增长至上,安全其次”的文化,在这种文化中,最重要的安全保障措施被弃之不用。他断言,大多数平台的卖点都强调易于集成,而其潜台词却是认为最强大的安全工具实际上不会被使用。
此外,他还表示,KelpDAO 攻击反映了一种危险的模式,即团队为了方便而放弃他们已经拥有的最佳安全措施——这与他在 DeFi 评估期间观察到的情况类似。.
他表示:“我总觉得问题的一部分原因可能是像 KelpDAO 这样的组织为了方便而选择不使用 LayerZero 的关键安全功能。”
最近,一些分析师也发出警告, Solana 上的 Wrapped XRP (wXRP) 可能是下一个倒下的多米诺骨牌,因为它依赖于第三方发行方,并且存在与 KelpDAO 刚刚损失的 2.92 亿美元相同的交易对手风险 XRP 分类账验证者 VET on X 写道:“wXRP 是一种已发行资产;从风险角度来看,它与通过自保方式持有原生 XRP 完全不同。”
然而,一些跨链协议已经开始采取防御措施。例如,Flare 暂时中止了 FXRP 桥接活动,暂停了所有代币赎回。.
KelpDAO 为何会亏损 2.92 亿美元?
KelpDAO漏洞造成约2.92亿美元损失,初步调查结果显示,与朝鲜有关联的Lazarus Group ,尤其是TraderTraitor,参与了此次攻击。攻击者通过一笔针对Kelp的LayerZero桥的交易,窃取了116,500枚rsETH,约占该代币流通供应量的18%。
此次攻击旨在通过获取LayerZero Labs的DVN用于验证交易的足够多的RPC端点的访问权限,来破坏RPC基础设施。然而,此次攻击仅影响了KelpDAO的rsETH配置,并未波及任何其他跨链资产或应用程序。.
区块链调查员 ZachXBT 首先在他的 Telegram 频道上发出警报,随后安全公司 Cyvers 和 PeckShield 也迅速证实了这起盗窃事件。Cyvers 还指出,黑客在攻击发生前 10 小时用 Tornado Cash 充值了他们的钱包——这是黑客在作案前掩盖 trac的惯用伎俩。.
攻击发生后,这些代币被存入 Aave V3 以借入 ETH 和 WETH,区块链数据随后显示,攻击者通过 Tornado Cash进行了洗钱活动。攻击者借入了约 74,000 个 ETH 和 WETH,在三个借贷平台上累计负债超过 2.36 亿美元,其中一个钱包就持有来自 Aave的约 1.2 亿美元 ETH。.
在KelpDAO漏洞事件发生后不久,施瓦茨也发表了评论。他形容此次攻击手法老练,并指出攻击利用了KelpDAO监管的漏洞。RippleRipple首席技术官乔尔·卡茨也指责KelpDAO的安全措施薄弱,并声称与KelpDAO不同,RLUSD在桥接方面采取了安全至上的策略。
