#ArbitrumFreezesKelpDAOHackerETH
2026年4月23日 去中心化金融(DeFi)领域刚刚见证了本轮周期中最具决定性的一刻。最初看似又一次重大的漏洞事件,如今已演变成关于去中心化、安全性以及治理权未来的更广泛讨论。
局势 实际发生了什么
2026年4月18日,Kelp DAO成为一次复杂的跨链攻击目标。攻击者通过利用LayerZero基础设施中的弱点,成功窃取了116,500 rsETH,价值约292 million USD。
这并不是一次简单的智能合约漏洞。这是一场协调的基础设施级攻击,包含RPC投毒(RPC poisoning)和DDoS战术,使攻击者能够绕过1-of-1 DVN (Decentralized Verifier Network)的设置,并生成伪造的跨链消息。
在我看来,这凸显了一个关键事实:到2026年,DeFi中最大的风险不再只是代码漏洞——而是基础设施设计缺陷。
Arbitrum的历史性介入
2026年4月20日,东部时间23:26,Arbitrum的安全委员会采取了前所未有的一步:
冻结了30,766 ETH (约71 million USD),涉及此次漏洞的资金。
这些资金被转移到一个受控的中介钱包,该钱包只能通过治理机制访问。据报道,此举基于执法部门的情报,将此次攻击与朝鲜的Lazarus Group联系起来。
这不仅仅是一次技术动作——更是一次治理里程碑。在如此规模的事件中,主要的L2首次主动介入,以阻止漏洞利用之后的非法资金流动。
技术层面的核实
我们先把根因说清楚:
单一验证者 (1-of-1 DVN)架构带来了单点故障
RPC投毒使消息得以被篡改
缺乏多DVN实现使得桥接部分处于暴露状态
在此之后,LayerZero已经确认,它将停止支持1-of-1 DVN配置。
在我看来,这将成为一个转折点:跨链协议的安全标准将被永久性地提升。
市场反应——可控恐慌,而非崩盘
尽管漏洞规模巨大,市场的反应却出乎意料地稳健:
DeFi总锁仓量(TVL)在48小时内减少了130 billion USD (99.5B → 86.3B)
Aave面临潜在不良债权情景,金额介于123.7M至230.1M USD
ETH价格相对稳定地维持在约2,300 USD附近
这种稳定性告诉我们一件重要的事:
市场不再是情绪化反应——它正在更高效地对风险进行定价。
更大的争论——去中心化 vs 干预
这里就变得更有意思了。
Arbitrum的行动让整个行业出现了分歧:
一方认为这削弱了去中心化原则
另一方则认为在高风险的环境中,这是一种必要的风险管理手段
正如Paradigm的Dan Robinson所说:
“去中心化并不是一份自杀契约。”
就我个人而言,我认为这将开启一个混合时代——纯粹的去中心化与务实的防护措施相结合。接下来真正的挑战,是界定这种权力的边界在哪里。
目前进展
据报道,在冻结之后,攻击者已将约150万 USD从以太坊转移到比特币 (per ZachXBT)
Kelp DAO正在探索恢复机制,包括救援资金以及损失社会化(loss socialization)
Aave已部分重新开启WETH市场
与此同时,一个更大的模式正在浮现:
仅在2026年4月,所有与Lazarus Group有关的攻击就已从DeFi中抽取了约575 million USD,包括:
Drift:285M
Kelp DAO:292M
最终洞见
这次事件是一记警钟。不仅是对开发者的提醒,更是对DeFi中每一位参与者的警示。
安全性不再是可选项。
基础设施设计也不再是次要问题。
没有防护措施的去中心化,也不再足够。
根据我对市场行为的跟踪经验,这样的时刻不只是带来恐惧——它们会重塑标准。能够适应的协议将引领DeFi进入下一阶段;而不能适应的,将成为案例研究。
2026年4月23日 去中心化金融(DeFi)领域刚刚见证了本轮周期中最具决定性的一刻。最初看似又一次重大的漏洞事件,如今已演变成关于去中心化、安全性以及治理权未来的更广泛讨论。
局势 实际发生了什么
2026年4月18日,Kelp DAO成为一次复杂的跨链攻击目标。攻击者通过利用LayerZero基础设施中的弱点,成功窃取了116,500 rsETH,价值约292 million USD。
这并不是一次简单的智能合约漏洞。这是一场协调的基础设施级攻击,包含RPC投毒(RPC poisoning)和DDoS战术,使攻击者能够绕过1-of-1 DVN (Decentralized Verifier Network)的设置,并生成伪造的跨链消息。
在我看来,这凸显了一个关键事实:到2026年,DeFi中最大的风险不再只是代码漏洞——而是基础设施设计缺陷。
Arbitrum的历史性介入
2026年4月20日,东部时间23:26,Arbitrum的安全委员会采取了前所未有的一步:
冻结了30,766 ETH (约71 million USD),涉及此次漏洞的资金。
这些资金被转移到一个受控的中介钱包,该钱包只能通过治理机制访问。据报道,此举基于执法部门的情报,将此次攻击与朝鲜的Lazarus Group联系起来。
这不仅仅是一次技术动作——更是一次治理里程碑。在如此规模的事件中,主要的L2首次主动介入,以阻止漏洞利用之后的非法资金流动。
技术层面的核实
我们先把根因说清楚:
单一验证者 (1-of-1 DVN)架构带来了单点故障
RPC投毒使消息得以被篡改
缺乏多DVN实现使得桥接部分处于暴露状态
在此之后,LayerZero已经确认,它将停止支持1-of-1 DVN配置。
在我看来,这将成为一个转折点:跨链协议的安全标准将被永久性地提升。
市场反应——可控恐慌,而非崩盘
尽管漏洞规模巨大,市场的反应却出乎意料地稳健:
DeFi总锁仓量(TVL)在48小时内减少了130 billion USD (99.5B → 86.3B)
Aave面临潜在不良债权情景,金额介于123.7M至230.1M USD
ETH价格相对稳定地维持在约2,300 USD附近
这种稳定性告诉我们一件重要的事:
市场不再是情绪化反应——它正在更高效地对风险进行定价。
更大的争论——去中心化 vs 干预
这里就变得更有意思了。
Arbitrum的行动让整个行业出现了分歧:
一方认为这削弱了去中心化原则
另一方则认为在高风险的环境中,这是一种必要的风险管理手段
正如Paradigm的Dan Robinson所说:
“去中心化并不是一份自杀契约。”
就我个人而言,我认为这将开启一个混合时代——纯粹的去中心化与务实的防护措施相结合。接下来真正的挑战,是界定这种权力的边界在哪里。
目前进展
据报道,在冻结之后,攻击者已将约150万 USD从以太坊转移到比特币 (per ZachXBT)
Kelp DAO正在探索恢复机制,包括救援资金以及损失社会化(loss socialization)
Aave已部分重新开启WETH市场
与此同时,一个更大的模式正在浮现:
仅在2026年4月,所有与Lazarus Group有关的攻击就已从DeFi中抽取了约575 million USD,包括:
Drift:285M
Kelp DAO:292M
最终洞见
这次事件是一记警钟。不仅是对开发者的提醒,更是对DeFi中每一位参与者的警示。
安全性不再是可选项。
基础设施设计也不再是次要问题。
没有防护措施的去中心化,也不再足够。
根据我对市场行为的跟踪经验,这样的时刻不只是带来恐惧——它们会重塑标准。能够适应的协议将引领DeFi进入下一阶段;而不能适应的,将成为案例研究。
