Kelp DAO 遇襲後爭議升溫：跨鏈橋是否成為風險放大器？Arbitrum 凍結 ETH 引爆 L2 去中心化質疑

作者：Gu Yu，ChainCatcher Kelp DAO 失竊事件發生逾 40 小時後，餘波仍在擴大。Aave、LayerZero、Arbitrum 等多個頭部項目相繼被捲入，市場討論甚至上升到對熱門敘事"判死"的程度。有意見認為目前只有 ETH 相對安全；亦有人指出 Arbitrum 已授權凍結涉事資產，繼而質疑"L2 已不再是真正的 L2"。另一派聲音則認為，事件核心並非否定 L2（就算是"假 L2"也未必構成致命問題），而是對跨鏈橋安全模式的否定。 各方各執一詞、互相指責，使 Kelp DAO 事件成為觀察安全事故責任歸屬、以及"務實安全"與"技術原教旨"衝突的一個典型窗口。 一、LayerZero 是否"被證偽"？跨鏈橋成為最大輸家 導火線來自 LayerZero 昨日發布的攻擊分析報告。報告初步指向與北韓有關聯的 Lazarus Group，並稱攻擊者入侵 LayerZero 去中心化驗證網絡（DVN）所依賴的下游 RPC 基礎設施：先控制部分 RPC 節點，再配合對未受影響的 RPC 發動 DDoS，迫使系統故障切換至惡意節點，從而偽造跨鏈交易。 Animoca Brands 投資與合作主管 Samuel Tse 形容，"透過被攻陷節點污染 RPC，再對其他 RPC 發動 DDoS 迫使 failover，是非常高階的手法，本質上是基建層面的戰爭。" LayerZero 在報告末段強調，事件期間協議"按設計運作"，未發現協議漏洞；其模組化安全架構成功把攻擊隔離在單一應用之內，對其他 OFT 或 OApp 沒有傳染風險。 這種幾乎完全撇清責任的表述引來強烈反彈。研究員 CM 質疑：LayerZero 在全文把責任歸咎 KelpDAO 的配置失誤，聲稱自身沒有任何問題，但為何容許 1/1 這種配置存在？攻擊者如何取得內部 RPC 名單？為何 DDoS 後的 failover 會直接信任已被攻陷的 RPC，而非暫停驗證或採取最低限度的保護措施？ DeFi 開發者 banteg 亦表示不安：聲明稱"協議如預期運作"，並把事件描述為"RPC 節點被攻陷"與"RPC poisoning"，但其實是自身基礎設施被入侵。由於未交代入侵如何發生，他不會急於重新啟用跨鏈橋。 Kelp DAO 隨後發聲澄清，被利用的單驗證者（1/1）配置並非無視建議的選擇，而是 LayerZero 官方指引所列的預設設定；而被攻擊者利用的 DVN 亦屬 LayerZero 自身基礎設施。 Dune 數據顯示，在 LayerZero 上部署的 2,665 個 OApp 合約中，約 47% 採用 1/1 DVN 配置，即單一驗證機制，行業系統性風險被顯著放大。 市場普遍認為，LayerZero 雖非直接被"黑"，聲譽受損卻最大。若繼續以"允許弱配置但不承擔後果"的姿態回應，跨鏈敘事或面臨信心坍塌風險。外界亦期待 LayerZero 除了提出明確技術改進，亦需在資產賠償安排上承擔更大責任。 二、Layer2 是否"已死"？Arbitrum 罕見凍結引爆爭論 L2 的爭議焦點，源於 Arbitrum 的凍結行動。Arbitrum Security Council 今日中午公告，已採取緊急措施，救回黑客存放於 Arbitrum One 地址的 30,766 ETH，現值約 7,100 萬美元。 Arbitrum 表示，經深入技術調查與討論後，委員會確認並實施一項技術方案，可在不影響其他鏈上狀態或 Arbitrum 用戶的前提下，把資金轉移至安全位置；原地址已無法動用該筆 ETH，後續資金移動只可由 Arbitrum 治理權限推進，並會與相關方協調。 業內人士稱，Arbitrum Security Council 使用一種具特權的 state override 交易類型（屬 ArbOS 的一部分，但幾乎從未使用），在攻擊者私鑰仍可簽名的情況下，由鏈本身把該地址的 ETH 轉走。此類交易可繞過私鑰，只能由鏈端注入（透過 sequencer／ArbOS 升級路徑），權限由 Arbitrum Security Council 掌握。 據悉，Arbitrum Security Council 由 Arbitrum DAO 選出的 12 人組成，決策需至少 9 票通過。 此舉在市場掀起巨大震盪。過往外界普遍認為，作為以太坊 L2 代表方案，Arbitrum 不應有能力或權限直接處理用戶 ETH，否則與去中心化精神相悖。以往黑客事件中，USDT、USDC 常由 Tether、Circle 迅速凍結以減少損失；但 ETH 作為原生資產，幾乎從未出現"由鏈本身凍結或轉移"的先例，超出多數用戶預期。 支持者認為，關鍵時刻以"更像中心化機構"的方式保護資產不是缺陷而是優勢；反對者則指出"無需私鑰、無需授權即可直接轉移"，等同重塑了 L2 的去中心化邊界，令用戶對 L2 的資產安全與權限結構產生不安。Lan Hu 更直言，事件踩到 DeFi 意識形態紅線："Not Your keys, not your coins。" 結語：兩大敘事同時受審，賠償方案才是落地焦點 LayerZero 強調"協議按設計運作"，在技術層面或許成立，卻在輿論與信任層面失分；Arbitrum 透過特權交易轉移約 7,100 萬美元 ETH，救回資產之餘，亦對 L2 去中心化敘事造成明顯衝擊。 Kelp 失竊事件把兩個最熱門敘事推上被告席：跨鏈橋到底是基建，還是風險放大器？L2 是以太坊的可靠延伸，抑或只是披著去中心化外衣的"二級銀行"？ 更具諷刺意味的是：LayerZero 因單一驗證機制的"單點失效"而受創，最終卻要靠 Arbitrum 的"中心化特權"機制來協助止血，形成一個令人尷尬的閉環。 除了宏大敘事之爭，市場更關注賠償與壞賬處置。即使 Arbitrum 透過技術手段回收逾 7,000 萬美元資產，Aave 仍面臨近 2 億美元壞賬壓力，用戶利益如何保障仍待解答。多數黑客事故中，數百萬美元的損失已足以令協議元氣大傷，用戶補償往往無疾而終；但今次涉及 Aave、LayerZero 等頂級項目，壞賬解決方案備受期待。 Aave 今日提出兩個處理方向：其一，把損失在所有 rsETH 持有人之間分攤，Kelp DAO 對所有 rsETH（主網 + L2）統一減值，約 15% 脫錨；其二，只由 L2 的 rsETH 持有人承擔全部損失，主網 rsETH 維持原值。 至於 Kelp DAO 與 LayerZero 官方在賠償計劃中的角色，暫未見具體安排。從 LayerZero 報告中試圖切割責任的語氣可見，項目傾向"沒有責任就沒有賠償義務"。對一個估值達數十億、被數百個項目視為基礎設施的協議而言，若因 DVN 預設配置導致重大損失卻選擇"技術性免責"，本身已對"基礎設施"的定義構成深刻反諷。 在這場典型的"囚徒困境"中，各方更傾向透過"利益切割"把損害降到最低，而非共同承擔責任去修補行業的信任缺口。對 DeFi 而言，這可能是迄今最危險的一次囚徒困境。