Kelp DAO、LayerZero 驗證設定失誤釀近 10 億美元 DeFi 危機：單一節點結構性風險引爆 TVL 130 億美元撤出

根據韓媒報導，於 18 日（當地時間），因「레이어제로(LayerZero)」驗證 구조設定失誤，引發「켈프다오(Kelp DAO)」大規模攻擊事件，連鎖衝擊迅速擴散至整體「去中心化金融（*DeFi*）」市場。單一驗證節點的「設定錯誤」最終演變為高達約 10 億美元規模的潛在損失，讓 DeFi 基礎設計的「*結構性風險*」備受關注。

此次事件並非典型「智慧合約漏洞」所致，而是源於 *LayerZero* 驗證架構與 *Kelp DAO* 實作上的「設定問題」。在攻擊發生後，整體 DeFi 總鎖倉量（*TVL*）急挫至一年來低點，顯示市場資金對跨鏈協議及抵押品機制的信心遭到嚴重動搖。

根據報導內容，事故發生在 4 月 18 日。攻擊者透過擾亂 LayerZero 的訊息驗證系統，無需任何「實際抵押品」，就惡意鑄造出 11 萬 6,500 枚 rsETH，約佔 rsETH 總流通量的 18%。由於這起事件主因並非程式碼缺陷，而是「設定與架構設計」錯誤，引發產業界對 DeFi *信任模型* 的更大質疑。

消息指出，Kelp DAO 採用的是一種高度集中的驗證設計：在 LayerZero 的跨鏈訊息驗證上，使用「僅倚賴單一節點」的 *1-of-1* 架構。先前區塊鏈安全公司 Halborn 已警告，這種將關鍵信任點集中於單一節點的方式存在明顯「*結構性脆弱性*」，本次事件可說是風險徹底爆發的案例。

攻擊手法上，駭客先控制了兩個 RPC 節點，接著以 DDoS 攻擊癱瘓備援節點，隨後成功插入偽造訊息，以此在沒有任何真實抵押的情況下，大量鑄造 rsETH。取得偽造資產後，攻擊者透過 AAVE、SparkLend、Fluid 等 DeFi 協議進行一系列借貸與兌換操作，最終將資金轉換為以太幣(ETH)與 Arbitrum(ARB)。部分資金流向還疑似透過隱私混幣工具 Tornado Cash 進行洗錢，增加追蹤難度。

LayerZero 方面則將本次攻擊矛頭指向北韓駭客組織「拉撒路集團」旗下的 TraderTraitor 團隊，不過目前相關指控尚未獲得官方與執法機構的最終確認。

從數據面來看，這起事件的市場衝擊相當直接。鏈上資料聚合平台 DeFiLlama 顯示，事件發生後短短 48 小時內，DeFi 生態系統中約有 130 億美元資金撤出，TVL 削減規模創下近一年來最大跌幅。

其中，以 AAVE 受到的波及最為明顯。由於其凍結 rsETH 市場，AAVE 的 TVL 從約 264 億美元驟降至約 180 億美元，約有 84 億美元資金流出，成為單一協議層面上本次事件的「最大受災戶」。

*評論*：AAVE 作為藍籌級 DeFi 協議，其 TVL 大幅下降往往被視為「整體市場風險偏好」的指標。本次資金快速撤出，反映的是對「抵押品品質」與「跨協議風險傳染」的集體恐慌，而不僅是單一協議安全問題。

更嚴重的是所謂「*傳染效應*」。由於 rsETH 在多個借貸市場被視為可接受抵押品，當偽造 rsETH 被用作抵押並產生債務時，等同於在各協議內部生成了一層層「以虛假資產為基礎」的負債。即便部分協議本身並未直接與 Kelp DAO 交互，也可能透過整合、聚合或二級市場敞口，間接受到資金外流與風險重新定價的衝擊。

分析機構 Allium 則指出，本次事件最大警訊在於：「*技術本身是正常運作的，問題在於設定方式*。」換言之，並不是跨鏈訊息協議本身出現零日漏洞，而是上層協議在使用 LayerZero 時選擇了「安全冗餘極低」的單節點驗證模型，將本應分散的信任風險，集中壓在一個單點上，結果讓攻擊面一目了然。

對整個跨鏈與 DeFi 生態而言，這意味著：「單一驗證節點」這類設計已被明確證實為可被實務攻擊利用的風險點。問題也不僅限於 Kelp DAO，一切採用類似信任架構的跨鏈協議或 DeFi 機制，都必須重新審視自身的安全假設與風險承擔模式。

目前市場關注焦點主要集中在兩個方面：其一是 Kelp DAO 預計發布的完整鏈上鑑識（forensic）報告及受害用戶補償方案，其二則是 AAVE 如何處理因偽造 rsETH 抵押所產生的潛在壞帳。如果 Kelp DAO 能提出具體且可信的補償機制，並與相關協議協調處理受影響部位，加上 AAVE 能夠有效控制壞帳風險，則本次事件的負面效應有機會被限制在局部範圍。

反之，若最終有大規模損失無法被吸收，或部分協議需要以「社區稀釋、代幣增發」等方式填補缺口，那麼整體 DeFi TVL 仍可能持續承受下行壓力，資金避險情緒也恐進一步升高。

*評論*：這起攻擊更像是一場「設定與設計假設被市場修正」的風險事件，而非單純的技術漏洞問題。在追求跨鏈效率與資本效率的過程中，許多協議默認了某些「中心化式」信任節點，將其包裝在「去中心化」敘事之下。本次事件則殘酷提醒市場：所謂「信任最小化」，必須體現在具體架構與冗餘機制上，而不是僅停留在文件與宣傳層面。

整體而言，Kelp DAO 與 LayerZero 相關攻擊案暴露出 DeFi 在快速擴張背後潛藏的「*結構性風險*」：包括跨鏈協議對單點驗證節點的依賴、抵押資產品質審核機制不足，以及協議間高度耦合所造成的連鎖風險。這不僅是一場單一協議遭到駭入的事件，更是一面照向整個 DeFi 生態「信任架構」的鏡子。

在資本效率與去信任化之間，DeFi 市場或許正來到必須重新調整平衡的位置。對開發團隊與投資人而言，未來一段時間內，如何在協議設計中加入更多「冗餘、分散與可驗證性」，將成為能否重新贏回市場信任的關鍵。