发生了什么:快速概览
2024年4月18日,区块链社区得知一次高度复杂的攻击针对跨链流动性协议 KelpDAO。此次被广泛称为 KelpDAO 利用 的事件中,攻击者通过 DeFi 借贷平台 Aave 而非直接在公开市场上操作, siphon off roughly 30,766 ETH,价值超过 $55 million(按今日汇率计算)。此举帮助攻击者掩盖踪迹,将金融风险转嫁给借贷协议,并规避传统检测手段。
跨链攻击的技术原理
不同于传统的勒索软件或钓鱼诈骗,KelpDAO 利用的是去中心化金融的组合性。攻击者首先使用无需前置抵押的闪电贷技术,从领先的非托管借贷协议 Aave 借入大额资产。获得贷款后,他们将资金跨多个链转移,利用 KelpDAO 桥合合约中的漏洞生成可瞬间抽走的合成流动性。等到闪电贷偿还完成时,已被盗的 ETH 已经被转入一系列混币器和隐私钱包。
KelpDAO 利用 Aave 的方式
Certik 分析师 Wenzhao Dong 强调了攻击者对市场流动性的深刻理解。"Lazarus Group 展示了对流动性动态的高级把握,选择通过 Aave 发动攻击而不是在现货市场上暴露自身," 他解释道。通过使用 Aave 的借贷池,犯罪分子将金融风险转移到该协议上,使平台无意间成为帮凶。这一策略还为他们提供了短暂的价格滑点保护,使被盗资产在不触发大幅市场波动的情况下完成转移,从而避免惊动交易者。
- 从 Aave 闪电贷获取约 3,000 ETH
- 跨链桥接至 KelpDAO 的流动性池
- 快速提取合成资产
- 在链上审计捕捉漏洞前偿还闪电贷
此做法凸显了一个日益明显的趋势:网络犯罪分子不再仅将 DeFi 协议视为攻击目标,而是将其当作放大自身操作的工具。
Arbitrum 与 SEAL 911 的响应
漏洞曝光数小时内,Arbitrum 安全委员会联手 SEAL 911 紧急响应小组冻结了被盗资金。他们的协同作战成功锁定了 30,766 ETH,有效遏制了攻击的现金兑现阶段。虽然冻结并不等同于全额返还,但已向生态系统传递出防御手册正在升级的明确信号。委员会还发布了事后报告,敦促开发者审计桥合约并在借贷平台上实施更严格的流动性监控。
对 DeFi 安全的影响及未来展望
KelpDAO 利用为投资者和开发者敲响了多重警钟。首先,该事件表明跨链桥仍是薄弱环节,尤其在结合闪电贷能力时风险更大。其次,它凸显了实时风险分析的必要性,需能够标记异常的贷款‑交易比例。最后,已知威胁行为体——被认为与 Lazarus Group 有关联——的介入,暗示国家层面的资源正被用于盈利驱动的 DeFi 攻击。
业界专家呼吁采用多层防御策略:
- 强化链上监控工具,追踪突发的流动性转移。
- 对桥合约进行形式化验证,以消除可被利用的漏洞。
- 建立保险机制,在协议被攻破时为受害者提供赔付。
结论:KelpDAO 利用对加密世界的意义
KelpDAO 利用 再次提醒我们,DeFi 的开放性既是其最大优势也是致命弱点。随着攻击手法愈发巧妙,社区必须以同样的创新精神构建坚实的安全框架、持续审计并在验证者、委员会与应急响应团队之间保持快速协同。要在跨链网络犯罪面前