Kelp DAO rsETH 遭駭近 2.9 億美元：LayerZero 指 1/1 DVN 設計缺陷釀禍，Aave TVL 暴跌引爆 DeFi 系統性風險疑慮

根據 The Block 於 20 日（當地時間）的報導，跨鏈互操作性協議「LayerZero」將去中心化流動性再質押協議「Kelp DAO」遭遇約「2 億 9,000 萬美元」駭客攻擊的主因，歸咎於 Kelp DAO 在「分散驗證者網路（DVN）」上的「設計與配置缺陷」。具體來看，Kelp DAO 採用的是高度集中的「1/1 DVN」架構，等同只依賴單一驗證路徑，導致其 rsETH 跨鏈橋接合約暴露在單點失效風險之下。部分鏈上監測社群與分析人士更指出，本次攻擊的特徵與過往「北韓關聯駭客組織」的行動存在相似之處，是否與朝鮮駭客有直接關聯，成為市場正關注的焦點之一。

LayerZero 在聲明中說明，Kelp DAO 的 rsETH 跨鏈橋發生資金外流，是因為該協議只配置了「單一驗證者路徑的 DVN（1/1 DVN）」；若採用多驗證者、多路徑的「分散 DVN 結構」，將能明顯降低本次這類攻擊成功的可能性。LayerZero 強調，團隊過去已多次向合作專案建議採用更分散的驗證架構，但 Kelp DAO 並未跟進調整。鏈上數據顯示，本次駭客事件共造成約 11 萬 6,500 枚「再質押以太幣 rsETH」被轉出，按事發當時市價估算，損失金額約落在「2 億 9,200 萬至 2 億 9,300 萬美元」區間。

這場攻擊迅速引爆了「責任歸屬」與「風險外溢」的爭議。遭竊的「rsETH」被用作去中心化借貸協議「Aave（AAVE）」上的抵押品後，導致市場對該抵押品的真實償付能力出現疑慮，連帶動搖整體協議的穩定性。報導指出，事件發生後，Aave 的「總鎖倉價值（TVL）」一度暴跌約 89 億美元，從先前的高點回落至「約 175 億美元」水準。市場分析更估算，若相關抵押部位無法妥善處理，潛在的「不良債務」規模恐達約「1 億 9,500 萬美元」，引發 DeFi 生態對系統性風險的擔憂。

面對外界質疑，LayerZero 劃清界線，強調此次為「Kelp DAO 應用層配置問題」，並非「LayerZero 協議本身遭到入侵」。LayerZero 表示，其核心協議與驗證網路並未被突破，問題出在 Kelp DAO 如何設計與使用 DVN 的安全參數。為防止類似事件再度發生，LayerZero 宣布，將要求所有使用「1/1 DVN」架構的協議及合作方，儘速升級為「多 DVN、分散式驗證結構」。若專案選擇固守單一驗證者架構，LayerZero 將「停止為該類訊息提供簽名與驗證」，實質上切斷相關應用對 LayerZero 基礎設施的依賴。

「評論」：這項舉措等於為合作專案設下「安全底線」，不再只給出建議，而是用「技術服務門檻」強制推動安全升級。從風險治理角度看，這反映出跨鏈基礎設施提供者在行業逐漸扮演「安全標準制定者」角色，一旦專案方忽視分散驗證設計，不僅自身暴露於攻擊，更可能透過串接協議造成連鎖反應。

事發後，「誰該為損失埋單」在社群內引發熱烈討論。OneKey 創辦人兼執行長「王一喜」公開表示，現階段應優先考慮與駭客談判，提出約「10% 至 15%」的「白帽賞金（bounty）」以換取資金歸還。他指出，過往多起 DeFi 大額攻擊案例中，透過「談判 + 追蹤 + 壓力」方式成功找回資產已成為常見路線，因此應先把資金找回作為第一優先。若協商失敗、損失難以挽回，王一喜認為，「LayerZero 生態系基金」應承擔「大部分賠償責任」，理由在於基礎設施供應方在安全設計指引與合作審核上，難以完全撇清責任。

「評論」：要求 LayerZero 擔負主要賠償，實際上是將「基礎協議與應用層」的責任邊界推向灰色地帶。一方面基礎協議未被攻破，從技術層面確實可以主張自身清白；另一方面，當協議以品牌與技術背書吸引眾多應用方接入，市場自然會期待其在「風險教育與安全預審」上扮演更主動角色。未來這類爭議恐將催生更多「責任共擔」機制，例如保險金池、安全基金與強制審計條款。

然而，縱使後續能談成部分資金歸還或賠付方案，「鏈上流動性扭曲與連鎖清算風險」仍未完全解除。DeFi 借貸協議 Spark 的策略負責人「Moneysupply（MoneySupply）」警告，在 Aave 當前「ETH 流動性下滑」的情況下，只要現貨以太幣(ETH)價格再出現「約 15% 至 20%」的跌幅，就可能引發新一輪清算，加劇「不良債務」累積壓力。Aave 已第一時間凍結 rsETH 的相關操作，阻止新增風險敞口擴大，但這次事件仍清楚揭示：「跨鏈橋」與「去中心化借貸協議」在資產層高度綁定，只要其中一環出現設計或治理缺陷，另一端就可能瞬間陷入流動性危機。

「評論」：從產業結構角度來看，這起事件再次印證「跨鏈橋 + 再質押 + 借貸」的疊加模式，雖能放大資本效率，卻同時放大了單點失效的破壞力。對專案方而言，關鍵不只在於選擇哪條「跨鏈協議」或哪個「再質押代幣」，而是整體架構中是否存在「1/1 DVN 這種單一信任點」。對使用者與機構資金來說，本次 Kelp DAO 與 LayerZero 之間的攻防與責任爭議，也將成為評估「協議風險」與「賠付預期」的重要案例。

綜觀全局，Kelp DAO rsETH 遭駭事件，不僅暴露了「分散驗證者網路（DVN）」在實務部署上的落差，也讓市場重新審視「LayerZero」這類跨鏈基礎設施在風險管理中的角色。隨著談判進展、資金追回比例與潛在賠付方案陸續明朗，這起約「2 億 9,000 萬美元」的重大安全事故，勢必將被日後 DeFi 項目與監管機構反覆研究，成為如何設計「多驗證路徑、降低系統性風險」以及「釐清基礎協議與應用方責任邊界」的重要參考案例。