去中心化困境：KelpDAO 危机中的级联风险与紧急处置权

撰文：BlockSec

核心要点：KelpDAO 2.9 亿美元桥接漏洞引发连锁反应，冻结了五条链上超过 67 亿美元的 WETH 流动性，波及从未接触过 rsETH 的用户。此事件还揭示了 “permissionless” 系统的实际边界：Arbitrum Security Council 通过治理授权的原子化合约升级执行了强制状态转换，在无需持有者签名的情况下转移了 30,766 ETH。

2026 年 4 月 18 日，KelpDAO 的 rsETH 跨链桥遭到攻击，损失约 2.9 亿美元，成为今年以来规模最大的 DeFi 安全事件。初步溯源指向 Lazarus Group，一个有据可查的、长期针对加密基础设施的国家级攻击组织 [1]。此次攻击并非利用智能合约漏洞，而是通过投毒单个去中心化验证网络（DVN）节点所依赖的 RPC 基础设施，伪造跨链消息，在源链无对应销毁的情况下释放了 rsETH 代币。

LayerZero [1] 和 KelpDAO [2] 已对攻击本身做了详细说明。本文从另一个角度切入：不再复述攻击过程，而是审视攻击之后发生了什么：一个单点基础设施依赖如何引发了冻结五条链上数十亿美元流动性的级联，以及这场级联如何迫使去中心化治理框架在公众视野下行使中心化的紧急权力。

KelpDAO 事件的因果链贯穿了 “去中心化” 技术栈的三个层面：单点 DVN 依赖使攻击成为可能；DeFi 的可组合性（即 “DeFi 乐高”，协议之间像积木一样互相插接的特性）随后将这次桥接漏洞演变为系统性流动性危机；而危机的规模又反过来迫使治理框架暴露了嵌入其中的中心化紧急权力。

背景：KelpDAO 攻击简述

KelpDAO 是 rsETH 的发行方。rsETH 是一种流动性再质押代币（LRT），代表分布在多个运营商上的 ETH 质押仓位。为实现 rsETH 的跨链流通，KelpDAO 集成了 LayerZero 的消息协议。该协议依赖 DVN（去中心化验证网络）在目标链执行前确认跨链消息的合法性。

关键配置选择：KelpDAO 的 rsETH OApp 使用了 1-of-1 DVN 配置，仅以 LayerZero Labs 运营的 DVN 作为唯一验证者。这意味着 rsETH 的整个跨链安全性依赖于单一验证实体。LayerZero 的集成文档明确建议使用具有冗余的多 DVN 配置，且 LayerZero 表示在事件发生前已向 KelpDAO 传达了这一最佳实践 [1]。KelpDAO 则回应称，1/1 配置是 “LayerZero 文档中记载并作为任何新 OFT 部署默认配置发布的”，且 “在 L2 扩展过程中已被明确确认为合适的配置” [2]。

攻击者入侵了 LayerZero Labs DVN 使用的两个 RPC 节点，将其二进制文件替换为恶意版本。这些恶意节点仅对 DVN 的 IP 地址返回伪造的链上状态数据，对所有其他观察者（包括 LayerZero 自身的监控基础设施）表现正常。与此同时，一场针对未被入侵 RPC 节点的 DDoS 攻击迫使系统故障转移至已被投毒的节点。结果：DVN 确认了一条源链上从未发生的跨链消息，在无对应源链销毁的情况下，从以太坊侧适配器（0x85d4…8ef3）释放了 116,500 枚 rsETH [1, 3]。释放交易为 0x1ae232…db4222。链上证据明确无误：以太坊目标端点接受了 nonce 308，而 Unichain 源端点报告的最大出站 nonce 仍为 307 [10]。

KelpDAO 在 46 分钟内检测到异常并暂停了所有相关合约。此举阻止了针对额外 40,000 枚 rsETH（约 9,500 万美元）的后续攻击 [2]。但此时，攻击者已经进入下一阶段：通过 DeFi 借贷协议将被盗的 rsETH 转化为借出资产。

从伪造代币到借出资产

攻击者并未直接抛售被盗的 rsETH。116,500 枚代币被分散到七个分支钱包，通过多种渠道变现，包括通过聚合器直接兑换为 ETH、Compound V3 供应仓位以及跨桥至 Arbitrum [10]。但影响最深远的路径经过了 Aave：攻击者将 89,567 枚 rsETH（约 2.21 亿美元）存入两条链上的 Aave 借贷市场：Ethereum Core 和 Arbitrum。利用 Aave 的 E-Mode（一种允许相关资产获得更高贷款价值比的资金效率功能），攻击者以存入的 rsETH 为抵押借出了 82,620 枚 WETH 和 821 枚 wstETH [3]。

这些仓位被杠杆至极限。攻击者七个地址的健康因子在 1.01 至 1.03 之间，仅略高于清算阈值 [3]。之所以能做到这一点，是因为 Aave 的 E-Mode 为 rsETH 设定了 93% 的 LTV，清算阈值为 95%，安全缓冲仅有 2 个百分点。

各地址在两个市场上的明细如下：

表 1：攻击者在 Aave 两个市场上的 rsETH 供应与 WETH/wstETH 借出明细

数据来源：链上数据统计，综合 Etherscan、Arbiscan 和 DeBank，截至 2026-04-22 16:51 UTC。USD 价值反映各笔交易发生时的代币价格。

级联效应：一次桥接漏洞如何冻结了五条链上的 WETH

下图概述了完整的级联链条。步骤 1 和 2（桥接漏洞和 Aave 抵押品存入）已在上方背景部分介绍。本节深入分析步骤 3 至 5：为什么 WETH 必须被冻结、哪些参数塑造了级联的严重程度，以及冻结的实际代价。

图 1：从桥接漏洞到五条链上 WETH 冻结的级联流程

为什么 WETH 必须被冻结

4 月 19 日，Aave 的 Protocol Guardian 冻结了 Aave V3 和 V4 上所有 rsETH 和 wrsETH 市场，禁止以 rsETH 为抵押进行新的存款和借款 [8]。这是预期中的第一步响应。

出乎意料的第二步发生在 4 月 20 日：Aave 冻结了 Ethereum、Arbitrum、Base、Mantle 和 Linea 上的 WETH 储备 [3, 8]。

为什么要冻结 WETH？这是一种未被攻击、与跨链桥毫无关系的资产。因为攻击者存入的 rsETH 是在没有任何源链资产对应的情况下铸造出来的。Aave 的预言机继续按完整市场价格为这些代币定价，将它们视为与合法桥接的 rsETH 无法区分的有效抵押品。攻击者利用这种信息不对称，以在系统层面代表无担保负债的抵押品借出了真实的 WETH。这抽干了借贷池中的 WETH，使受影响市场的利用率达到 100%。在利用率满载的情况下，现有 WETH 存款人无法提款，清算人也无法获得执行清算所需的底层资产。清算机制，即协议防御坏账的核心防线，实际上已经瘫痪 [3]。

如果 WETH 借款保持开放，其他链上剩余的池流动性可以通过同样的机制被抽干：存入 rsETH，借出 WETH，然后离开。冻结 WETH 不是可选项，而是控制损害的唯一手段。

塑造级联的三个参数

此次级联的严重程度并非偶然。三个协议参数决定了直接损害的规模以及由此产生的冻结波及范围。

1. LTV：每单位被污染抵押品能提取多少健康资产

Aave 的 E-Mode 为 rsETH 设定的 LTV 为 93%，意味着每存入 1 美元被污染的 rsETH 就能借出 0.93 美元的 WETH。作为对比，同期 Spark Protocol 的 rsETH LTV 为 72%，Fluid 约为 75% [3]。Aave 的参数是市场上最激进的。

这是经过深思熟虑的设计决策，而非疏忽。2026 年 1 月，Aave 治理将 rsETH 的 E-Mode LTV 从 92.5% 提高到 93%，进一步压缩了本已微薄的安全缓冲，从 2.5% 降至 2% [3]。基础（非 E-Mode）LTV 被故意设定在接近零的水平（0.05%），实际上迫使所有有意义的 rsETH 借款都通过高 LTV 的 E-Mode 路径。

2. 池深度：各市场对流动性抽取的脆弱程度

同样金额的借款在不同深度的目标池中产生截然不同的影响。

表 2：各链 Aave V3 市场 WETH 储备规模与攻击者直接抽取比例

攻击者仅在 Aave V3 市场存入 rsETH。Aave V4（仅部署于 Ethereum，2026-03-30 上线）同样受到预防性 rsETH 冻结 [8]，但未反映在本表中。WETH 储备数据来自 LlamaRisk [3]；攻击者借出数据来自上方地址明细表。

攻击者集中在 Ethereum Core 和 Arbitrum 进行借款操作。但关键观察在于那些攻击者从未触及的链上发生了什么。由于 rsETH 在 Mantle、Base 和 Linea 上被接受为抵押品，一旦底层桥接支撑被破坏，这些链上任何以 rsETH 为抵押的现有用户仓位都面临潜在的坏账风险。Aave 决定在所有五条链上预防性冻结 WETH 是合理的应对：如果保持这些市场开放，它们将暴露在攻击者已在 Ethereum 和 Arbitrum 上验证过的同一抽取机制之下 [3, 8]。

3. 跨链部署数量：冻结传播的范围

rsETH 在 23 个 Aave V3 市场中的 11 个被列为抵押品，其中 7 个存在实质性敞口 [3]。攻击者仅在 2 条链上操作，但预防性 WETH 冻结波及了至少 5 条链，包括攻击者从未存入过一枚代币的市场。LTV 决定每条链上被提取多少，池深度决定各市场受到的冲击程度。但正是 rsETH 被多少条链接受为抵押品，最终决定了冻结传播的范围。

这些参数并非静态不变。攻击发生前 9 天，即 4 月 9 日，Aave 的 Risk Steward 提高了 rsETH 的 supply cap：Ethereum Core 从 480,000 提高到 530,000，Mantle 从 52,000 提高到 70,000 [3]。虽然这并不意味着因果关系（攻击者的准备周期很可能早于这些调整），但这凸显了常规参数调整如何在无意中扩大了未来事件的影响范围。

冻结的真实影响

结果：一次 2.9 亿美元的桥接漏洞导致五条链上的 WETH 流动性被冻结，受影响市场的合并储备超过 67 亿美元。

直接损失限于攻击者的借款金额。但在 DeFi 借贷中，冻结绝非轻微的运营中断。它锁定了用户流动性，阻止了提款，打乱了活跃仓位，并削弱了保护协议免受坏账的清算机制。受影响的绝大多数用户从未接触过 rsETH、KelpDAO 或任何跨链桥。他们是 Aave 上的 WETH 存款人和借款人，参与的是他们合理认为的直接明了的借贷市场。

WETH 是 DeFi 最基础的流动性资产。冻结它相当于关闭全城最大银行的提款通道，原因是另一家金融机构使用了一款大多数存款人从未听说过的产品被诈骗了。

LlamaRisk 的事件报告 [3] 建立了两个坏账场景模型，给出了逐链的 shortfall 预测，是目前最详尽的风险传播分析。但即便该分析也聚焦于潜在坏账，而非冻结本身带来的更广泛运营成本，包括提款锁定、仓位受阻以及所有受影响市场的清算能力削弱。对级联总体影响的全面量化仍是一个开放问题。

如果说攻击级联是复杂的，那么恢复过程同样不简单。可组合性在约束破坏的同时，也约束着修复。Aave 无法简单地 “全部解冻”。每个市场都需要独立评估，根据本地 rsETH 敞口、WETH 利用率和攻击者活动情况，面对不同的风险状况。时间线清楚地说明了这一点：

4 月 19 日：Protocol Guardian 冻结了 Aave V3 和 V4 上所有 rsETH 和 wrsETH 储备 [8]。

4 月 20 日：WETH 在 Ethereum、Arbitrum、Base、Mantle 和 Linea 上被冻结 [3, 8]。

4 月 21 日：仅 Ethereum Core V3 的 WETH 被解冻，LTV 作为预防措施保持为 0。Ethereum Prime、Arbitrum、Base、Mantle 和 Linea 上的 WETH 仍处于冻结状态 [8]。

攻击发生四天后，六个受影响市场中仅有一个解冻。恢复路径在复杂度上与攻击路径如出一辙：逐协议、逐链推进，每一步都需要治理协调和风险评估。

应急响应：Arbitrum 如何在无需持有者签名的情况下转移了 30,766 ETH

在 Aave 处理借贷级联的同时，Arbitrum 上也在进行一场平行的响应行动。4 月 21 日，Arbitrum Security Council 宣布采取紧急行动，冻结了攻击者在 Arbitrum One 上持有的 30,766 ETH [6]。这些资金被转移到一个中间冻结地址（0x…0DA0），只有通过后续的 Arbitrum 治理投票才能处置 [7]。

治理行动

Arbitrum Security Council 是 Arbitrum DAO 治理结构的正式组成部分，并非外部主体或临时委员会。此次紧急行动通过 Arbitrum 治理论坛公开宣布 [7]，在执法部门确认攻击者身份后执行 [6]，并附有完整的交易细节供任何人验证。Security Council 在其既定职权范围内行事，权衡了 “对 Arbitrum 社区安全性和完整性的承诺，同时不影响任何 Arbitrum 用户或应用” [6]。

这不是一个密室决定，而是经治理授权的紧急行动，公开透明地执行，链上证据一目了然。

技术机制

使此次行动引人注目的不是治理决策本身，而是它在链上的执行方式。基于 BlockSec 的 Phalcon trace 分析 [9]，Security Council 采用了原子化的三步操作：

Upgrade Executor 临时升级了以太坊 inbox 合约（DelayedInbox），添加了一个名为 sendUnsignedTransactionOverride 的新函数。

该函数被用于创建一条冒充攻击者地址的跨链消息。消息通过 Bridge.enqueueDelayedMessage 注入，kind=3 对应 Arbitrum Nitro 栈中的 L1MessageType_L2Message。此消息类型允许在 L2 上执行 L2MessageKind_UnsignedUserTx。关键在于，这条路径不需要签名验证。sender 参数从标准的 msg.sender 路径切换为调用者控制的输入，通过 L1→L2 地址别名转换携带攻击者的地址上下文。

转账在 L2 执行完毕后，inbox 合约被恢复为原始实现。

L1 交易 [4] 和由此产生的 L2 交易 [5] 均可在 Phalcon Explorer 上公开查看。L2 交易显示为 “从攻击者到 0x…0DA0”，但这不是一笔标准的用户签名转账，而是一次链级强制状态转换：通过治理级基础设施升级权限，在无需资产所有者私钥的情况下转移了资产。

去中心化的困境

其原理本身很直接：可升级合约赋予了无限能力。如果合约可以被升级，其行为就可以被修改为做任何事，包括在无需持有者签名的情况下转移资产。这是任何基于可升级合约构建的系统所固有的能力。30,766 ETH 目前存放在一个冻结地址中。只有后续的 Arbitrum 治理投票才能决定其处置方式。原子化的升级-执行-恢复模式没有对 inbox 合约留下任何永久性改动，也没有影响任何其他用户或应用 [6]。

从大多数合理评估来看，Arbitrum Security Council 的行动是正确的。攻击者被确认为国家级行为者，执法部门参与其中，治理过程公开透明，7,100 万美元的被盗资产被追回，或至少被阻止了进一步洗钱。

但使这一切成为可能的能力，其适用范围远不止于这一特定案例。同样的升级-执行-恢复机制，原则上可以用于转移 Arbitrum One 上任何地址持有的任何资产。Security Council 的权力并不限于攻击者地址或被盗资金，它是一种通用能力，受治理规范而非代码的约束。

这就是困境所在。用户在与 L2 交互时持有一种隐含的心理模型："我的资产由我的私钥控制，没有我的签名任何人都无法转移。"KelpDAO 事件的应急响应表明，这个模型是不完整的。在 Arbitrum 以及任何拥有可升级桥接合约和 Security Council 的 L2 上，资产可以通过完全绕过签名验证的治理级行动被转移。

Arbitrum 并非特例。Aave 的市场冻结同样是治理驱动的紧急行动。在 KelpDAO 事件中，多个协议同时行使了中心化的紧急权力：Aave 冻结了五条链上的市场，Arbitrum Security Council 执行了强制转账，KelpDAO 在全局暂停了合约。这个 “去中心化” 生态系统的危机响应，在实践中是一次中心化权力的协调行使。

问题不在于紧急权力是否应该存在。KelpDAO 案例为其存在的必要性提供了有力论据。问题在于，这些权力的边界、触发条件和问责机制是否足够透明。在 L2 上存入资产的用户应该能够回答一个基本问题：在什么情况下 Security Council 可以转移我的资金？我有什么追索权？

被盗资金现状

对被盗资金的独立链上追踪（完整可视化见 MetaSleuth [11]）显示，攻击者把 116,500 rsETH 分散到 7 个一级地址，其中大部分被存入 Aave（Ethereum Core 与 Arbitrum）作抵押借出 WETH 和 wstETH，借到的代币经少量 DEX 兑换后在两条链上都归集到同一地址 0x5d39…7ccc（Ethereum / Arbitrum）。截至 2026-04-22 05:42 UTC，被盗资金分布在四种状态：

表 3：被盗资金的四种状态分布（截至 2026-04-22 05:42 UTC）

其中约 31% 被冻结或拦截，23% 停留在 Ethereum 一个未动的地址，46% 已经或正在分散到 103 个一级下游地址。攻击者在 Aave 的 rsETH 抵押仍未赎回，借出的 WETH 和 wstETH 也没有归还，借贷头寸已经被放弃。

KelpDAO 事件的因果链贯穿了 “去中心化” 技术栈的三个层面。

起点是单点依赖。KelpDAO 的 1-of-1 DVN 配置将跨链验证缩减为单一实体，使整座桥仅通过一个被入侵的基础设施组件即可被攻破。架构支持去中心化，但配置并没有。

可组合性随后将一次桥接漏洞演变为系统性流动性危机。一次攻击冻结了 DeFi 最基础的资产 WETH，波及五条链，影响了数十亿美元的流动性，涉及与 rsETH 或 KelpDAO 毫无关联的用户。级联的波及范围由可量化的参数塑造：激进的 LTV 设置、浅流动性池以及广泛的跨链抵押品部署。

危机的规模进而迫使去中心化治理行使中心化的紧急权力。Arbitrum Security Council 通过治理授权的原子化合约升级，在无需持有者签名的情况下转移了 30,766 ETH。Aave 通过治理驱动的紧急行动冻结了多条链上的市场。这些响应是有效的、透明的，也可以说是必要的，同时也是 “permissionless” 存在实际边界的明确证明。

单点依赖使攻击成为可能，可组合性放大了损害，损害揭示了一直存在的中心化权力，它嵌入在可升级合约和治理框架之中。应对这些环环相扣的问题需要各方参与者共同行动：

面向协议方：协议的整体安全水平取决于最薄弱的环节，本次事件中的短板是 DVN 基础设施而非智能合约 [10]。有效的安全需要对多个维度的系统性覆盖，包括代码安全、基础设施安全、密钥管理和运营安全等。全面的安全评估和渗透测试应对完整技术栈进行压力测试，而非孤立地检验单个组件。链上监控使协议能够在数分钟内而非数小时后触发紧急响应，而快速的跨链资金追踪对于协调资产冻结和最大化追回至关重要。具体到借贷协议，跨链合成资产的抵押品应针对 “抵押品完全沦陷” 情景，结合上文讨论的三个参数（LTV、池深度、跨链部署数量）进行压力测试。

面向 L2 治理和 DAO：紧急权力应当透明且可问责。大多数主要 L2 已具备此类能力，但往往深埋在技术文档中，而非呈现在面向用户的材料中。治理框架应明确编纂触发条件、范围限制、时间约束和事后问责要求。

面向用户：理解 DeFi 可组合性中固有的系统性风险。在本次事件中，从未接触过 rsETH 的 WETH 存款人在五条链上被冻结了流动性。单个仓位的风险只是全貌的一部分；你的资产所交互的协议、池、抵押品类型和链共同构成了一个相互关联的风险面。

参考资料

[1] LayerZero Core, “KelpDAO Incident Statement”:

[2] KelpDAO, “April 18 Incident: Additional Context”:

[3] LlamaRisk, “rsETH Incident Report” (April 20, 2026):

[4] BlockSec Phalcon Explorer, L1 Transaction (Arbitrum Security Council action):

[5] BlockSec Phalcon Explorer, L2 Transaction (Arbitrum forced transfer):

[6] Arbitrum, “Security Council Emergency Action”:

[7] Arbitrum Governance Forum, “Security Council Emergency Action 21/04/2026”:

[8] Aave, rsETH incident updates (April 19-21, 2026):

[9] BlockSec Phalcon, “Arbitrum Security Council freeze analysis”:

[10] banteg, “Kelp rsETH Unichain → Ethereum Path Investigation”:

[11] MetaSleuth, KelpDAO exploit trace: