执行摘要
受北韩支持的 Lazarus Group 初步被关联到从去中心化金融平台 KelpDAO 盗取约 292 百万美元 rsETH 的案件。此次攻击发生于 2026 年 4 月 18 日,导致 116,500 rsETH 消失。以太坊 Layer‑2 解决方案 Arbitrum 随即冻结约 71 百万美元的被盗资产,而调查人员认为该组织又将 175 百万美元的 ETH 转移至其他钱包。
事件经过
2026 年 4 月 18 日,KelpDAO 报告称一次未授权交易导致其金库中的 116,500 rsETH 被抽走,按当时价值约为 292 百万美元。此次漏洞追溯到一系列智能合约调用,这些调用将代币重定向至与 Lazarus Group 关联的地址。
数小时内,Arbitrum 介入,冻结了网络上约 71 百万美元的被盗 rsETH。冻结措施阻止了代币立即转换为其他资产,为调查人员争取了关键的追踪时间。
后续区块链分析显示,Lazarus 将另外价值约 175 百万美元的 ETH 转移至一组未直接关联原 rsETH 地址的钱包。此举表明其采用了多阶段洗钱策略,以混淆资金来源。
背景 / 语境
Lazarus Group 已被多家网络安全公司和执法机构认定为在北韩政权支持下运作的高产网络犯罪组织。过去数年间,该组织策划了一系列高调的加密货币盗窃,总额达数十亿美元。
KelpDAO 是一个专注于 rsETH 代币流动性提供的去中心化自治组织,之前一直强调其依赖智能合约审计和社区治理。rsETH 代币是以太坊原生资产的包装表示,广泛用于 DeFi 协议中的质押和收益耕作。
各方反应
Arbitrum 的安全团队宣布冻结被盗资金,称此举是“一项保护行动,以保障网络参与者安全,同时调查仍在进行”。平台还承诺将全力配合取证分析师和执法机构。
KelpDAO 社区论坛发布紧急通知,确认损失并列出审计剩余合约的步骤。DAO 开发者表示将在彻底弄清漏洞前暂停所有 rsETH 相关操作。
多个司法管辖区的执法机构已启动平行调查,理由是交易跨境且涉及国家支持的行为体。
意义何在
此事件凸显了依赖复杂智能合约交互的 DeFi 协议持续存在的脆弱性。即使拥有审计流程,像 Lazarus 这样技术高超的威胁行为者仍能利用细微的代码路径抽取资产。
Arbitrum 对大部分赃款的快速冻结展示了 Layer‑2 方案在检测到非法活动时实时介入的日益成熟能力。这可能为其他扩容平台采用类似保护机制树立先例。
对更广泛的加密生态系统而言,此次盗窃提出了对现有安全框架是否足够以及项目、交易所与监管机构之间协同情报共享需求的质疑。
后续进展
调查人员将继续追踪 Lazarus 在初始盗窃后转移的 175 百万美元 ETH。区块链取证公司预计将在未来几天发布详细的交易映射。
KelpDAO 计划对其智能合约进行全面事后审计,并实施额外的防护措施,例如多签名提款限制。
Arbitrum 的安全团队将监控被冻结资产的任何规避尝试,并与执法部门协作评估资产回收的可行性。