[{"content":"17:35 UTC，4月18日。\n116,500个rsETH从KelpDAO的金库消失。这一刻，它们从未在Unichain上存在过——链上nonce记录清清楚楚：Unichain最后发出的编号是307，第308号数据包从未出现过。\n但以太坊这边，adapter收到了\u0026quot;有效\u0026quot;签名，把钱放出去了。\n2.9亿美元。用时不到一个区块。\n这不是一次漏洞攻击。这是穿越信任边界的一刀——精准，干净，在没有任何人来得及反应之前就结束了。\n背景铺垫 KelpDAO是一个流动性质押协议。\n用户把ETH存进来，KelpDAO通过EigenLayer做再质押，用户收到rsETH作为凭证——可以交易，可以跨链，可以在DeFi里当抵押物用。\n到2026年4月，rsETH已经部署到了超过20条链上：Arbitrum、Base、Mantle、Unichain、Linea……所有链上的rsETH，最终都连回以太坊主网的一个共享金库——通过LayerZero的OFT跨链标准连接。\n这个金库里，装着用户信任KelpDAO保管的所有ETH。\n跨链的意思是：你在Arbitrum上看到的\u0026quot;我的rsETH\u0026quot;，实际上是一张欠条，欠条的主人是以太坊主网上的金库。金库安全，你的资产就安全。金库破了，你的资产就没了。\nLayerZero是那条连接金库和各条链的管道。每一笔跨链操作，都要经过LayerZero的DVN（去中心化验证网络）来确认：真的有人锁了ETH，可以发币了。\nLayerZero的架构允许——也推荐——运行多个独立的DVN，要求跨验证者共识后才授权转账。\nKelpDAO的配置是：1个DVN，0个备用，0个门槛。\n唯一被授权的验证者：LayerZero Labs自己的基础设施，标签是\u0026quot;LayerZero: DVN\u0026quot;。\n事件发生 攻击者并不是从外部攻进来的。\n他们先拿到了LayerZero内部RPC节点的访问权限——具体怎么拿到的，LayerZero至今没有给出完整解释。\n拿到之后，他们做了两件事：\n第一，在两个独立节点集群上替换了geth二进制文件。 这是供应链攻击。节点运营商以为自己在运行正常的软件，实际上每一个字节都被换过了。\n第二，对剩余的干净节点发起DDoS攻击，迫使所有流量切换到被植入恶意程序的节点上。\n这些被污染的节点只向DVN的IP地址发送伪造数据——告诉DVN\u0026quot;Unichain上发生了一笔交易\u0026quot;。而它们对其他所有查询者返回真实数据，包括LayerZero自己的监控系统。\nDVN只看到了它被允许看到的东西。\n恶意节点向DVN提交了一个伪造数据包：声称有116,500 rsETH在Unichain上被锁定并销毁。DVN的2-of-3多签签了字。数据包被认证为有效。\n以太坊的adapter做了它唯一该做的事：检查哈希值是否匹配（匹配，因为签名是对的），放币。\n签名是真的。数据包是假的。\n这就是链上证据——Unichain的nonce 308从未存在过，Unichain上rsETH总供应量只有49.26个，不可能销毁116,500个，没有Transfer事件，没有PacketSent事件。\nNonce 307是一次真实转账，nonce 308是凭空出现的。两个数据包结构完全相同，区别只在于：一个是真实的，一个是被签出来的。\n攻击者还准备了第二个数据包，nonce 309，目标再拿40,000 rsETH（约1亿美元）。但KelpDAO的紧急多签刚好在那个时候冻结了收款地址，第二笔没有成功。\n这就是为什么最终损失是2.9亿美元而不是4亿美元。运气成分只有这么多。\n整个攻击的种子资金：约230美元，从Tornado Cash出来，距离攻击不到10小时。\n结果与余波 被盗的rsETH直接进了Aave V3。\n8个预先进好的钱包同时行动：存rsETH进Aave，开E-Mode，用几乎99%的借款率借走真实的WETH，然后把WETH汇总到一个收集地址。\n单最大一个分支：53,000 rsETH进了Aave V3，拿走了约52,440 ETH。整个过程4分钟。然后WETH转走，rsETH抵押物留在原地。\n现在Aave V3的合约里还锁着89,567个rsETH——这些代币现在毫无价值，因为KelpDAO的合约已被冻结。但Aave的合约无法清算它们，因为市场无法消化这个量级。\n这就是坏账。\n与此同时，75,701 ETH（约1.75亿美元）开始通过THORChain、Umbra、Chainflip和BitTorrent洗出去。每一步都转成比特币。\n36小时之内，清洗完成。\n比特币无法追踪，无法冻结，无法归还。\nArbitrum做了唯一一次有效的反击：4月20日，12人安全委员会投票（9票赞成），动用紧急权限，把攻击者在Arbitrum上的30,766 ETH强行转到一个冻结地址。约7360万美元保住了。\n这个决定充满争议——一个链上治理机构，有没有权力单方面冻结资金？\nMarc Zeller的说法代表了很多人的矛盾心理：\u0026ldquo;我天生反对Arbitrum刚才做的事。但我理解这个决定。让人拿回钱，比坚持一种会让朝鲜黑客带着钱走人的立场更重要。\u0026rdquo;\n但75,700 ETH不在Arbitrum上。它已经在链上换成了比特币，没有任何机构可以冻结。\n余震 Aave在48小时内净流出84.5亿美元。WETH资金池利用率触及100%——所有存款都被借出去了，正常用户无法提款。\n这不是Aave的坏账问题。这是银行挤提。\nMEXC撤了4.31亿。Abraxas Capital撤了3.92亿。一个标记为Nonco的巨鲸撤了4.057亿。\nCurve、Euler、SparkLend、Ethena、EtherFi、WBTC、TRON、Pengu、Morpho——一共31个以上协议暂停了LayerZero跨链操作。不是因为它们被攻击了，而是因为它们不确定自己是不是下一个。\n没有一个rsETH敞口的协议选择了冻结——因为它们的跨链基础设施也是LayerZero。\n事件总结 DeFi的可组合性是它的最大优势，也是它的最大风险。\nrsETH之所以有价值，是因为它可以在任何链上使用，可以在任何协议里当抵押物。这是流动性质押的意义——解除锁仓，让资产流动起来。\n但\u0026quot;让资产流动起来\u0026quot;的意思也是：任何一条链上的漏洞，都可以通过这条链条传输到所有连接它的协议。\nKelpDAO被攻击了。但KelpDAO不是终点——它是跳板。\n真正的问题是：如果一个基础设施层的漏洞可以绕过所有审计、所有多签、所有安全参数，直接到达所有连接它的协议——那这个基础设施层到底算不算安全？\nLayerZero说它是模块化的，应用方拥有自己的安全配置。\nKelpDAO说它的配置是LayerZero的文档默认值，是LayerZero团队确认过的。\n两者都可能是真的。但钱没了，账要算在谁头上？\n我的个人观点 一、KelpDAO没有被黑——KelpDAO的信任对象被击穿 整个叙事里最误导人的词是\u0026quot;KelpDAO被攻击\u0026quot;。\nKelpDAO的合约没有漏洞。没有重入攻击，没有整数溢出，没有签名重放，没有闪电贷。\n攻击者没有碰KelpDAO一根代码。\n他们碰的是LayerZero的节点基础设施——LayerZero Labs自己运营的RPC节点，自己部署的DVN，自己维护的二进制文件。KelpDAO既不拥有它，也不运营它，甚至没有能力审计它。\nLayerZero事后发布的公告说他们曾向KelpDAO建议过多DVN配置。KelpDAO说，在L2扩展的对话中，LayerZero团队确认默认配置是合适的。\n两种说法可以同时为真。一边在文档里写着最小化示例，一边口头说\u0026quot;没问题，这是生产可用的\u0026quot;。这不是沟通失败——这是责任边界的模糊地带，而模糊地带在法律上很值钱。\n二、BGD Labs在2025年2月就警告过 这个细节被淹没在事件报道里，几乎没有人注意到：\n2025年2月，在Aave治理讨论rsETH上线Arbitrum和Base期间，BGD Labs明确标记了依赖单一DVN的风险，建议使用多DVN配置。\n这个建议被无视了。\n14个月后，KelpDAO以2.9亿美元为代价，证明了这个风险真实存在。\nBGD Labs不是局外人——他们是Aave V3代码库的建造者和维护者。他们在正确的时机通过正确的渠道提出了正确的警告。\n然后什么都没发生。\n这个案例应该成为整个DeFi行业的培训教材。当专家通过治理渠道提出具体的、可操作的风险警告，然后该警告被系统性忽视——这不是技术失败，这是治理失败。而治理失败的后果，最终由用户承担，不是提出警告的人，不是忽视警告的人，也不是从忽视中获益的协议。\n三、\u0026ldquo;去中心化\u0026quot;是营销，安全靠私人公司 整个事件揭示了DeFi生态最核心的矛盾：\nLayerZero Labs——一家私人公司——运营着整个生态里最重要的跨链基础设施之一。数百亿美元、数百个协议、数百万用户的资产安全，实际上依赖于这家公司内部节点的安全状态。\n这不是去中心化。这是把关键的信任假设外包给了一家中心化的私人公司，然后给这个外包加上\u0026quot;去中心化\u0026quot;的营销标签。\nArbitrum的安全委员会——12个人——能够单方面冻结7360万美元。这在任何传统的去中心化叙事里都是不可接受的。但它是有效的。相比之下，没有任何去中心化机制能够冻结那1.75亿美元——因为它已经换成了比特币。\n当你需要紧急权力来阻止损失的时候，你才发现\u0026quot;去中心化\u0026quot;是一个叙事，不是一个机制。\n四、为什么几乎没有人提前发现 恶意二进制文件是有行为特征的：它们只向特定IP地址提供伪造数据，对所有其他查询者返回真实结果。\n如果有人在事后做复盘，他们会发现这个攻击设计得非常精确，精确到它本应该被任何基本的网络监控捕获——只要你有人在看。\n但链上数据是公开的，监控是稀缺的。LayerZero自己的监控系统被伪造数据绕过了，因为节点被污染了。\n\u0026ldquo;公开透明\u0026quot;不等于\u0026quot;有人在看\u0026rdquo;。\u0026ldquo;有人在看\u0026quot;不等于\u0026quot;有人有能力阻止\u0026rdquo;。\u0026ldquo;有能力阻止\u0026quot;不等于\u0026quot;有人有动力去做\u0026rdquo;。\n这三个缺口，KelpDAO事件全部走完了。\n五、Arbitrum的选择是DeFi的缩影 Arbitrum安全委员会投票冻结攻击者资金的时候，9票赞成，3票反对或弃权。\n这个决定是对的——保住了7360万美元。\n这个决定也是危险的——一个链上委员会可以单方面冻结资金，这是一个治理权力的集中。\n但真正让人不安的对比是：冻结7360万美元用了几个小时和一次治理投票。把1.75亿美元换成比特币用了不到36小时，没有任何机构可以介入。\nTHORChain不要求身份验证，不需要托管，不经过KYC。它是去中心化的，但它也是完全匿名的——对好人如此，对朝鲜黑客也是如此。\nDeFi建立了一个无需许可的金融系统，它的工具对好人和坏人是完全对称的。谁更有动力使用这些工具？\n六、2.9亿美元只是开始，真正的损失在后续 KelpDAO的账本：\n初始缺口：163,200 ETH KelpDAO自己追回：约43,000 ETH Arbitrum冻结：30,700 ETH 仍有缺口：约89,500 ETH Mantle、EtherFi、Lido、Golem、Etha、Frax、LayerZero——9个生态系统合作伙伴承诺\u0026quot;尽最大能力\u0026quot;参与恢复。这些承诺的实际价值取决于它们各自的财务状况和治理意愿，不是法律约束。\nAave面对的是两个场景：\n场景一（损失全网分摊）：约1.237亿美元坏账，以太坊Core承担约9180万 场景二（仅L2承担）：坏账升至约2.301亿美元，集中在Mantle、Arbitrum和Base Umbrella保险基金有23,507 aWETH（约5400万美元），但其中80%已经进入了unstaking cooldown队列——用户正在撤资，在基金被部署之前先跑为敬。\n最终，谁来为这笔坏账兜底？Aave DAO国库181亿美元，以及\u0026quot;生态系统承诺\u0026rdquo;。那些承诺的约束力，和它们最终能兑现的比例，是一个开放性问题。\n七、这不是一个漏洞，是一套系统 2026年，朝鲜黑客组织Lazarus（代号TraderTraitor）已经窃取了超过6亿美元。\nDrift Protocol：2.85亿美元，2026年4月1日，六个月社会工程学渗透，需要真人关系建立，需要黑客自己先存100万美元进去建立信任。\nKelpDAO：2.9亿美元，2026年4月18日，17天后。不需要社会工程，不需要人员接触，不需要等待时机，只需要拿到一个RPC节点列表。\n趋势是明确的：所需的人类接触越来越少，所需的基础设施入侵越来越多。\n当攻击者可以在不需要任何真实身份、不需要进入任何通讯软件、不需要让任何人点击任何链接的情况下，完成一次九位数的盗窃——这个攻击面不在你的安全培训范围内。\nDeFi行业的反应是什么？写事后报告，发布新的配置建议，召开事后电话会议。\nLayerZero宣布今后不再为1-of-1 DVN配置签名——这个政策在2.9亿美元被盗之后才出台。如果这不叫教训太贵了，那什么才叫教训太贵？\n八、给受害者的话 你们把ETH存进KelpDAO，是因为信任这套系统。你们把rsETH跨到Arbitrum、Base、Mantle，是因为DeFi说这是安全的。你们把rsETH当作Aave的抵押物，是因为所有审计都通过了，所有风险参数都是专业机构设定的。\n你们没有做错任何事。\nKelpDAO的配置是文档默认值。LayerZero团队确认过它。Chaos Labs和LlamaRisk审核过rsETH作为抵押物的资格。BGD Labs在治理里提过警告，但没有被采纳。\n审计查的是代码。代码没有漏洞。问题出在审计范围之外——配置选择，基础设施运营商，节点安全策略。这些不在审计范围内，但它们决定了你的钱是否安全。\nLayerZero和KelpDAO正在打口水仗，双方都在说对方该负责。与此同时，你的资产要么在被分摊，要么在等待一个承诺能否兑现的会议纪要。\n这就是DeFi。它给你无需许可的金融服务，但它不给你任何追索权。当你信任的系统出错，没有人对你负责——只有一份事后报告和一个治理投票。\n参考来源 KelpDAO官方声明: https://x.com/KelpDAO/status/2045595819035046148 KelpDAO反驳声明: https://x.com/KelpDAO/status/2046332070277091807 LayerZero官方公告: https://x.com/LayerZero_Core/status/2046081551574983137 Aave事件报告: https://governance.aave.com/t/rseth-incident-report-april-20-2026/24580 The Block报道: https://www.theblock.co/post/397988/kelp-daos-rseth-bridge-apparently-exploited-for-roughly-292-million-in-layerzero-based-attack QuillAudits技术分析: https://www.quillaudits.com/blog/hack-analysis/kelp-dao-hack Banteg链上分析: https://gist.github.com/banteg/705d0284513b74ad20f61d90f5b5de62 DK27ss PoC: https://github.com/DK27ss/KelpDAO-294m-PoC PeckShield警报: https://x.com/peckshield/status/2045582425007231404 Cyvers警报: https://x.com/CyversAlerts/status/2045596550882001142 ZachXBT调查: https://t.me/investigations/314 Arbitrum安全委员会冻结公告: https://x.com/arbitrum/status/2046435443680346189 CoinDesk事件报道: https://www.coindesk.com/tech/2026/04/20/kelp-dao-claims-layerzero-s-default-settings-are-what-actually-caused-the-usd290-million-disaster Elliptic DPRK归因报告: https://www.elliptic.co/blog/drift-protocol-exploited-for-286-million-in-suspected-dprk-linked-attack BleepingComputer报道: https://www.bleepingcomputer.com/news/security/kelpdao-suffers-290-million-heist-tied-to-lazarus-hackers/ DeFiLlama TVL数据: https://defillama.com/protocol/aave Dune LayerZero DVN追踪: https://dune.com/dune/layerzero-dvn-setups 攻击交易哈希: https://etherscan.io/tx/0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222 Marc Zeller警告: https://x.com/Marczeller/status/2045583631184282047 OAK Research DVN警告记录: https://x.com/OAK_Res/status/2046637948205170813 作者: Warren Wong 联系方式: whyrulikeme@gmail.com\n","permalink":"https://blog.5290195.xyz/posts/kelpdao-when-victims-become-weapons/","summary":"\u003cp\u003e17:35 UTC，4月18日。\u003c/p\u003e\n\u003cp\u003e116,500个rsETH从KelpDAO的金库消失。这一刻，它们从未在Unichain上存在过——链上nonce记录清清楚楚：Unichain最后发出的编号是307，第308号数据包从未出现过。\u003c/p\u003e\n\u003cp\u003e但以太坊这边，\u003ca href=\"https://etherscan.io/address/0x85d456b2dff1fd8245387c0bfb64dfb700e98ef3\"\u003eadapter\u003c/a\u003e收到了\u0026quot;有效\u0026quot;签名，把钱放出去了。\u003c/p\u003e\n\u003cp\u003e\u003cstrong\u003e2.9亿美元。用时不到一个区块。\u003c/strong\u003e\u003c/p\u003e\n\u003cp\u003e这不是一次漏洞攻击。这是穿越信任边界的一刀——精准，干净，在没有任何人来得及反应之前就结束了。\u003c/p\u003e\n\u003chr\u003e\n\u003ch2 id=\"背景铺垫\"\u003e背景铺垫\u003c/h2\u003e\n\u003cp\u003e\u003ca href=\"https://kelpdao.fi/\"\u003eKelpDAO\u003c/a\u003e是一个流动性质押协议。\u003c/p\u003e\n\u003cp\u003e用户把ETH存进来，KelpDAO通过EigenLayer做再质押，用户收到rsETH作为凭证——可以交易，可以跨链，可以在DeFi里当抵押物用。\u003c/p\u003e\n\u003cp\u003e到2026年4月，rsETH已经部署到了超过20条链上：Arbitrum、Base、Mantle、Unichain、Linea……所有链上的rsETH，最终都连回以太坊主网的一个共享金库——通过\u003ca href=\"https://layerzero.network/\"\u003eLayerZero\u003c/a\u003e的OFT跨链标准连接。\u003c/p\u003e\n\u003cp\u003e这个金库里，装着用户信任KelpDAO保管的所有ETH。\u003c/p\u003e\n\u003cp\u003e\u003cstrong\u003e跨链的意思是：你在Arbitrum上看到的\u0026quot;我的rsETH\u0026quot;，实际上是一张欠条，欠条的主人是以太坊主网上的金库。金库安全，你的资产就安全。金库破了，你的资产就没了。\u003c/strong\u003e\u003c/p\u003e\n\u003cp\u003eLayerZero是那条连接金库和各条链的管道。每一笔跨链操作，都要经过LayerZero的DVN（去中心化验证网络）来确认：真的有人锁了ETH，可以发币了。\u003c/p\u003e\n\u003cp\u003eLayerZero的架构允许——也\u003cstrong\u003e推荐\u003c/strong\u003e——运行多个独立的DVN，要求跨验证者共识后才授权转账。\u003c/p\u003e\n\u003cp\u003eKelpDAO的配置是：\u003cstrong\u003e1个DVN，0个备用，0个门槛。\u003c/strong\u003e\u003c/p\u003e\n\u003cp\u003e唯一被授权的验证者：LayerZero Labs自己的基础设施，标签是\u0026quot;LayerZero: DVN\u0026quot;。\u003c/p\u003e\n\u003chr\u003e\n\u003ch2 id=\"事件发生\"\u003e事件发生\u003c/h2\u003e\n\u003cp\u003e攻击者并不是从外部攻进来的。\u003c/p\u003e\n\u003cp\u003e他们先拿到了LayerZero内部RPC节点的访问权限——具体怎么拿到的，LayerZero至今没有给出完整解释。\u003c/p\u003e\n\u003cp\u003e拿到之后，他们做了两件事：\u003c/p\u003e\n\u003cp\u003e\u003cstrong\u003e第一，在两个独立节点集群上替换了geth二进制文件。\u003c/strong\u003e 这是供应链攻击。节点运营商以为自己在运行正常的软件，实际上每一个字节都被换过了。\u003c/p\u003e\n\u003cp\u003e\u003cstrong\u003e第二，对剩余的干净节点发起DDoS攻击，迫使所有流量切换到被植入恶意程序的节点上。\u003c/strong\u003e\u003c/p\u003e\n\u003cp\u003e这些被污染的节点只向DVN的IP地址发送伪造数据——告诉DVN\u0026quot;Unichain上发生了一笔交易\u0026quot;。而它们对其他所有查询者返回真实数据，包括LayerZero自己的监控系统。\u003c/p\u003e\n\u003cp\u003e\u003cstrong\u003eDVN只看到了它被允许看到的东西。\u003c/strong\u003e\u003c/p\u003e\n\u003cp\u003e恶意节点向DVN提交了一个伪造数据包：声称有116,500 rsETH在Unichain上被锁定并销毁。DVN的2-of-3多签签了字。数据包被认证为有效。\u003c/p\u003e\n\u003cp\u003e以太坊的adapter做了它唯一该做的事：检查哈希值是否匹配（匹配，因为签名是对的），放币。\u003c/p\u003e\n\u003cp\u003e\u003cstrong\u003e签名是真的。数据包是假的。\u003c/strong\u003e\u003c/p\u003e\n\u003cp\u003e这就是链上证据——\u003ca href=\"https://github.com/DK27ss/KelpDAO-294m-PoC\"\u003eUnichain的nonce 308从未存在过\u003c/a\u003e，\u003ca href=\"https://x.com/QuillAudits_AI/status/2046248238920151351\"\u003eUnichain上rsETH总供应量只有49.26个\u003c/a\u003e，不可能销毁116,500个，没有Transfer事件，没有PacketSent事件。\u003c/p\u003e\n\u003cp\u003eNonce 307是一次真实转账，nonce 308是凭空出现的。两个数据包结构完全相同，区别只在于：一个是真实的，一个是被签出来的。\u003c/p\u003e\n\u003cp\u003e攻击者还准备了第二个数据包，nonce 309，目标再拿40,000 rsETH（约1亿美元）。但KelpDAO的紧急多签刚好在那个时候冻结了收款地址，第二笔没有成功。\u003c/p\u003e\n\u003cp\u003e\u003cstrong\u003e这就是为什么最终损失是2.9亿美元而不是4亿美元。运气成分只有这么多。\u003c/strong\u003e\u003c/p\u003e\n\u003cp\u003e整个攻击的种子资金：约230美元，从Tornado Cash出来，距离攻击不到10小时。\u003c/p\u003e\n\u003chr\u003e\n\u003ch2 id=\"结果与余波\"\u003e结果与余波\u003c/h2\u003e\n\u003cp\u003e被盗的rsETH直接进了\u003ca href=\"https://aave.com/\"\u003eAave V3\u003c/a\u003e。\u003c/p\u003e\n\u003cp\u003e8个预先进好的钱包同时行动：存rsETH进Aave，开E-Mode，用几乎99%的借款率借走真实的WETH，然后把WETH汇总到一个收集地址。\u003c/p\u003e\n\u003cp\u003e单最大一个分支：53,000 rsETH进了Aave V3，拿走了约52,440 ETH。整个过程4分钟。然后WETH转走，rsETH抵押物留在原地。\u003c/p\u003e\n\u003cp\u003e\u003cstrong\u003e现在Aave V3的合约里还锁着89,567个rsETH——这些代币现在毫无价值，因为KelpDAO的合约已被冻结。但Aave的合约无法清算它们，因为市场无法消化这个量级。\u003c/strong\u003e\u003c/p\u003e\n\u003cp\u003e这就是坏账。\u003c/p\u003e\n\u003cp\u003e与此同时，75,701 ETH（约1.75亿美元）开始通过THORChain、Umbra、Chainflip和BitTorrent洗出去。每一步都转成比特币。\u003c/p\u003e\n\u003cp\u003e36小时之内，清洗完成。\u003c/p\u003e\n\u003cp\u003e\u003cstrong\u003e比特币无法追踪，无法冻结，无法归还。\u003c/strong\u003e\u003c/p\u003e\n\u003cp\u003e\u003ca href=\"https://x.com/arbitrum/status/2046435443680346189\"\u003eArbitrum做了唯一一次有效的反击\u003c/a\u003e：4月20日，12人安全委员会投票（9票赞成），动用紧急权限，把攻击者在Arbitrum上的30,766 ETH强行转到一个冻结地址。约7360万美元保住了。\u003c/p\u003e\n\u003cp\u003e这个决定充满争议——一个链上治理机构，有没有权力单方面冻结资金？\u003c/p\u003e\n\u003cp\u003eMarc Zeller的说法代表了很多人的矛盾心理：\u003ca href=\"https://x.com/Marczeller/status/2046468378559201519\"\u003e\u003c/a\u003e\u0026ldquo;我天生反对Arbitrum刚才做的事。但我理解这个决定。让人拿回钱，比坚持一种会让朝鲜黑客带着钱走人的立场更重要。\u0026rdquo;\u003c/p\u003e\n\u003cp\u003e但75,700 ETH不在Arbitrum上。它已经在链上换成了比特币，没有任何机构可以冻结。\u003c/p\u003e\n\u003chr\u003e\n\u003ch2 id=\"余震\"\u003e余震\u003c/h2\u003e\n\u003cp\u003e\u003ca href=\"https://www.coindesk.com/markets/2026/04/20/defi-tvl-drops-more-than-usd13-billion-in-two-days-following-kelp-dao-hack\"\u003eAave在48小时内净流出84.5亿美元\u003c/a\u003e。WETH资金池利用率触及100%——所有存款都被借出去了，正常用户无法提款。\u003c/p\u003e\n\u003cp\u003e这不是Aave的坏账问题。这是银行挤提。\u003c/p\u003e\n\u003cp\u003eMEXC撤了4.31亿。Abraxas Capital撤了3.92亿。一个标记为Nonco的巨鲸撤了4.057亿。\u003c/p\u003e\n\u003cp\u003eCurve、Euler、SparkLend、Ethena、EtherFi、WBTC、TRON、Pengu、Morpho——一共31个以上协议暂停了LayerZero跨链操作。不是因为它们被攻击了，而是因为它们不确定自己是不是下一个。\u003c/p\u003e","title":"KelpDAO — 当受害者成为武器：2.9 亿美元跨链桥攻击复盘"}]