网络新闻

KELP DAO 漏洞：一个持有近五分之一重新质押以太坊代币流通供应量的跨链桥刚刚被掏空，后果在 DeFi 中传播的速度比 Kelp DAO 暂停合约的速度还要快。攻击者在周末以 UTC 时间 17:35 从 Kelp DAO 的 LayerZero 驱动的桥接中掏空了 116,500 rsETH（重新质押以太坊），按当前价格估算价值约 2.92 亿美元，占 rsETH 的 630,000 个流通供应量的约 18%，该数据由 CoinGecko 跟踪。LayerZero 是一个跨链消息层，或允许不同区块链相互发送验证指令的基础设施。Kelp DAO 是一个流动性重新质押协议，该协议接受用户存入的 ETH，通过 EigenLayer 路由以获得额外的收益，并发行 rsETH 作为可交易的收据。被掏空的桥接持有 rsETH 储备，支持在 20 多条其他区块链上部署的代币的包装版本。攻击者欺骗了 LayerZero 的跨链消息层，让其相信来自其他网络的有效指令已经到达，导致 Kelp 的桥接释放 116,500 rsETH 到一个攻击者控制的地址。Kelp 的紧急暂停多重签名在成功掏空 46 分钟后，于 UTC 时间18:21 冻结了协议的核心合约。在 UTC 时间 18:26 和 18:28 进行了两次后续尝试，都未能成功，每次都携带相同的 LayerZero 数据包，尝试再次掏空 40,000 rsETH，价值约 1 亿美元。 — Shaurya Malwa阅读更多.

朝鲜加密盗窃手册：在与朝鲜有关的黑客利用社交工程攻击加密交易公司 Drift不到三周后，似乎与该国有关的黑客又实施了一次重大漏洞攻击 Kelp。对 Kelp 的攻击，一个与 LayerZero 跨链基础设施相关的重新质押协议，暗示了朝鲜与黑客操作方式的演变，不仅仅是寻找漏洞或被盗凭证，而是利用去中心化系统中构建的基本假设。综合来看，这两个事件表明这是一种比一次性漏洞更有组织的行为，朝鲜继续加大从加密领域劫持资金的努力。“这不是一系列事件；这是一个节奏，”ENS Labs 的首席信息安全官兼总法律顾问 Alexander Urbelis 说。“您无法通过修补来解决采购时间表。”在短短两周内，超过 5 亿美元在 Drift 和 Kelp 漏洞中被 siphon 掏空。从本质上讲，Kelp 漏洞并没有涉及破解加密或破解密钥。系统实际上按设计工作。相反，攻击者操纵了输入系统的数据，并迫使它依赖于那些被侵犯的输入，导致其批准实际上并未发生的交易。 — Margaux Nijkerk阅读更多.

AAVE 受 KELP DAO 黑客攻击影响：攻击者通过伪造看起来有效的转账消息来利用这个设置。即使代币从发送链中未被提取，系统仍然批准了转账，这意味着实际上创建了没有支持的新代币，从以太坊桥接释放了 116,500 rsETH。据报道，攻击者并没有在公开市场上出售资产，而是将 89,567 rsETH 作为抵押存入 Aave，并借入约 1.9 亿美元的 ETH 和相关资产，在以太坊和 Arbitrum 上。这使 Aave 面临可能大大受损的抵押品风险。Aave Labs 表示，他们迅速采取行动来控制风险。在几小时内，协议冻结了其部署的 rsETH 市场，将贷款价值比率设定为零，并停止了针对该资产的新借贷。结果目前在很大程度上取决于 Kelp 如何处理短缺。如果损失在所有 rsETH 持有者之间分摊，代币将面临估计 15% 的脱锚（即质押代币的价值与实际 ETH 的价值不匹配），这将导致 Aave 面临约 1.24 亿美元的坏账。如果损失被隔离到 Layer 2 网络，则影响将更加严重，坏账将上升至约 2.3 亿美元，并集中在 Arbitrum 和 Mantle 等网络上。— Margaux Nijkerk阅读更多.

COINBASE 委托量子计算风险报告：Coinbase commissioned 的一项新报告发出谨慎但紧急的警报：量子计算不会明天就摧毁加密，但该行业无法承受等待。这份 50 页的报告由独立顾问委员会撰写，该委员会包括斯坦福大学的著名密码学家 Dan Boneh、以太坊基金会的 Justin Drake 和 Eigen Labs 的 Sreeram Kannan，报告得出的结论是，尽管今天的区块链仍然安全，但未来“容错量子计算机”的出现能够破坏广泛使用的加密算法是越来越可信的，准备工作必须立即开始。近年来，对量子风险的关注已经越来越主流。谷歌研究人员发布的估计表明，足够先进的量子计算机有一天可能突破比特币的加密算法。主要的加密生态系统已经开始制定应对方案。以太坊基金会提出新型数字签名，旨在抵御量子计算机的攻击，而Solana 等公司正在尝试量子抗性钱包设计。报告强调，当前的量子计算机远不足以破解为比特币、以太坊和其他网络提供支持的加密算法。突破标准加密将需要巨大的计算开销，这在技术上仍被视为主要的工程挑战。 — Margaux Nijkerk阅读更多.

其他新闻

• Kelp DAO 资产中的一部分暂时不再流动。Arbitrum 的安全委员会在周一晚上冻结了价值约 7100万美元的 30766 ETH，将与周六的价值 2.92 亿美元的 rsETH 漏洞相关的资金转入一个仅可通过进一步的 Arbitrum 治理行动访问的中介钱包。该委员会表示，它根据执法部门提供的关于攻击者身份的信息采取了行动，并“没有影响任何 Arbitrum 用户或应用”。根据 Arbitrum 在 X 上的声明，转账在东部时间 4 月 20 日晚上 11:26 完成。这些被盗资金不再由最初持有它们的地址控制。 — Shaurya Malwa阅读更多.
• 一个Polymarket 合同关于 Kelp DAO 是否会将周末 2.92 亿美元漏损的损失扩散到直接受害者之外，指向一个明确的答案：可能不会。赌徒们认为 Kelp “社会化损失”的机会为 14%，即强迫在 Ethereum 上的 rsETH 持有者（未受到攻击）与其他链的用户共同承受损失。攻击者从一个支持该代币的 LayerZero 驱动的桥接中抽走了约 116,500 rsETH，导致部分系统出现抵押不足的情况，有些持有者实际上拥有的代币不再完全由以太（ETH）支持。“社会化损失”将意味着 Kelp 在所有 rsETH 持有者之间重新分配短缺，包括那些在以太坊主链上的用户，而不是将损失集中在与被破坏的桥接相关的用户和协议之间。这一方法的最广泛引用的先例发生在 2016 年，当 Bitfinex 在 6000万美元的黑客袭击后将损失强加于所有用户时，有效地共同承担损失以避免关闭。 — Sam Reynolds阅读更多.

监管与政策

• 四月似乎对加密透明法案来说是一个失去的机会，但根据游说者和专注于市场结构法案缓慢进展的立法者助理的说法，美国参议院委员会在五月进行听证会可能会让这一关键的市场结构立法保持活力，只要它能在七月之前获得整个参议院的最终投票。立法日程的剩余时间所剩无几，但参议院助理告诉 CoinDesk，可能再拖延几周——允许共和党参议员 Thom Tillis 完成与银行家关于稳定币收益相关问题的讨论——还没有将此工作推向无可挽回的地步。该助理还表示，早期关于去中心化金融（DeFi）保护的谈判实际上已经解决，为委员会批准扫清了很少的障碍。加密行业面临的主要问题之一是（如果能够跨越银行部门对稳定币奖励的顽固障碍）该法案需要通过的参议院银行委员会听证会只是许多步骤中的第一步。 — Jesse Hamilton阅读更多.
• Tron 创始人 Justin Sun 周二对与美国总统唐纳德·特朗普家族成员相关的稳定币和加密公司 World Liberty Financial 提起诉讼，声称该项目不公平地冻结了他的 $WLFI 持有，并进行了虚假陈述，并威胁和诽谤 Sun。 诉状中包括有关 Sun 本人对特朗普支持的内容，指控 World Liberty 的领导人“参与非法计划以夺取财产”的形式，即 Sun 声称自己在 2024 年被 World Liberty 团队请求购买的代币。“在 World Liberty 的关键时刻，Sun 先生投资 4500 万美元从 World Liberty 购买 $WLFI 代币，不仅是因为该项目声称将促进去中心化金融的采用——这是 Sun 先生非常关心并为此投入了毕生工作的一个问题——还因为特朗普家族与该项目的关联，”诉讼称。 — Nikhilesh De & Sam Reynolds阅读更多.

日历

• 2026 年 5 月 5-7 日： 共识大会，迈阿密
• 2026 年 6 月 2-3 日： 交流证明，巴黎
• 2026 年 6 月 8-10 日： ETHConf，纽约
• 2026 年 9 月 29 日至 10 月 1 日： 韩国区块链周，首尔
• 2026 年 10 月 7-8 日： Token2049，新加坡
• 2026 年 11 月 3-6 日： 开发者大会，孟买
• 2026 年 11 月 15-17 日： Solana 突破大会，伦敦