Kelp DAO 被黑,超过 2.9 亿美元加密货币在周末被转走。到周一,受影响项目之一 LayerZero 表示,初步迹象指向朝鲜黑客,尤其是长期活跃于加密领域的 TraderTraitor。金额上,这已经超过本月早些时候 Drift 约 2.85 亿美元失窃案,成了今年迄今最大加密盗窃。
新闻其实不复杂:黑客利用了 Kelp DAO 通过 LayerZero 跨链桥执行操作的路径,再叠加 Kelp 自身安全配置过松,交易不需要多重验证,最终靠伪造交易把资金抽走。Kelp DAO 则反咬 LayerZero 默认设置有问题。两边都在甩锅,但钱已经没了。
Kelp DAO 被盗,暴露的是“默认信任”这条老漏洞
这次事故里,有几个事实够读者快速抓住:
- 被盗对象.Kelp DAO,一个让用户用闲置加密资产赚收益的协议
- 被利用环节.LayerZero 跨链桥
- 关键失误.Kelp 的安全配置未要求多重验证
- 归因现状.LayerZero 称有初步指标指向朝鲜;最终归因仍待更多证据
这类案子最烦人的地方在于,它总不是“史无前例”的复杂攻击,而更像是“旧病复发”。跨链桥本来就是加密行业最脆的一层,因为它负责在多条链之间传递指令,天然扩大攻击面;再叠加默认配置、权限设计和人为偷懒,事故就很容易从技术问题变成治理问题。
《左传》有句老话:"多难以固其国,启其疆土。" 放到加密世界,几乎反着读——行业不是在挫折里变稳,而是在每轮暴雷后继续把风险外包给用户。去中心化没错,去责任化就难看了。
真正重要的,不是朝鲜黑客又来一次
朝鲜黑客偷币,已经不算新闻。原文给了两个数字:2025 年朝鲜黑客盗走的加密资产超过 20 亿美元;自 2017 年以来,累计规模约 60 亿美元。这个量级说明一件事:对朝鲜而言,黑客盗币早就不是零散犯罪,更接近一条成熟的创汇链条。
所以,这件事真正重要的地方,不在“是不是朝鲜”,而在“为什么他们总能得手”。答案并不神秘:加密行业有太多项目把增长速度放在安全纪律前面。跨链、收益聚合、再质押、封装资产,金融积木越搭越高,底层风控却常停留在“先跑起来再说”。这不是失误,是结构性懒惰。
横向看,Drift 本月刚出过大案;再往前看,跨链桥被盗早有一串旧案,Ronin、Wormhole、Harmony Horizon 都是教科书。历史不完全一样,但剧本很像:复杂架构承诺更高效率,最后用户先为复杂性买单。克莱顿·克里斯坦森讲创新常被简化成速度崇拜,可在安全这件事上,跑得快从来不是免责条款。
谁最该紧张,接下来盯什么
最受影响的不是“整个加密行业”这种大词,而是两类具体人。
一类是把资产放进收益协议的普通持币者。对他们来说,页面上的 APY 很诱人,桥接路径、签名验证、默认权限却根本看不见。收益是明码标价的,安全风险往往藏在产品说明和技术文档里。这类用户接下来会做一个很现实的动作:减少跨链、撤出高收益协议、转回中心化交易所或主链原生资产。
另一类是还在做 DeFi 集成的钱包、托管和机构团队。出了这种案子,采购和上币流程会变慢,尽调会更细,尤其会问三个问题:多签是不是默认开启?桥接验证是不是独立?事故后谁承担损失?如果项目方回答不清,合作就会拖延,甚至直接取消。
接下来最该观察的变量也就两个:一是链上资金能追回多少;二是 Kelp DAO 和 LayerZero 谁能拿出经得起审计的技术复盘,而不是公关化的责任切割。今天最大的讽刺是,区块链最擅长记录转账,却不太擅长记录谁该负责。