撰文：Merkle3s Capital

本内容由 Block Analytics Ltd X Merkle 3s Capital 支持，本文信息仅供参考，不构成任何投资建议或邀约，我们不对内容准确性负责，亦不承担由此产生的任何后果。

2.92 亿美元，不是代码出了问题

2026 年 4 月 18 日，DeFi 历史上又添一笔巨额损失——攻击者没有发现任何智能合约漏洞，没有使用任何零日漏洞，甚至不需要任何高级技术。他们只是利用了一个配置选项：KelpDAO 把跨链桥的安全验证设成了 1-of-1。

事情是这样发生的。KelpDAO 使用 LayerZero 作为跨链桥协议，将 rsETH（Restaked ETH）在以太坊和各 Layer 2 之间转移。跨链桥的安全核心是一个叫 DVN（Decentralized Verifier Network）的验证机制——简单说，就是需要多少个独立验证节点确认"这笔跨链交易是真实的"，消息才会被放行。

KelpDAO 的配置是 1-of-1： 一个节点确认就够了。

攻击者（安全公司 SlowMist 等指向朝鲜 Lazarus Group）通过 DDoS 攻击干扰正常的 RPC 节点，同时向单一 DVN 注入伪造数据。单一验证节点被骗过，虚假的跨链消息被批准——116,500 枚 rsETH（约 2.92 亿美元）就这样被铸造出来，从未存在的以太坊另一端"跨"了过来。

攻击者随后将伪造的 rsETH 存入 Aave V3 作为抵押品，借出约 1.9 亿美元的 WETH。

整个过程： 没有破解任何密码学，没有利用任何代码漏洞。

后果是连锁性的。据 Aave 治理论坛 4 月 20 日发布的事件报告，坏账规模约 2.3 亿美元（Scenario 2 估算）。

据 CoinDesk 报道，Aave 的 TVL 在数日内从约 485 亿美元跌至约 300-310 亿美元，跌幅超 37%。

据 Yahoo Finance 报道，AAVE 代币下跌约 15-20%（峰值时约 20%）。借贷利率从 3.4% 飙升至 14%，整个 DeFi 市场 TVL 在数日内蒸发超 130 亿美元。

这是一场 AI 能完美审计代码、却永远审不到配置参数的灾难。

AI 审计工具正在爆发——然后呢？

如果你关注区块链安全圈，过去两年你会看到一个令人振奋的叙事：AI 终于要解决 DeFi 的安全问题了。

这不是空谈。CertiK 的 Skynet 平台已覆盖数千个项目的实时链上监控；De.Fi Scanner 累计扫描量超过百万次；Hexagate 的链上威胁检测已被 Gate.io 收购。

学术界也在跟进——多个基于大语言模型的智能合约漏洞检测论文在 2025-2026 年间发表，报告了令人印象深刻的检出率。

AI 在代码层确实有效。重入攻击、整数溢出、访问控制缺陷——这些已知模式，AI 找起来比人快得多。行业调查显示，60-80% 的审计项目已经在使用 AI 工具作为初筛辅助，头部审计公司无一例外。

但这里藏着一个悖论： 工具越来越好，损失却没有减少。

DeFiLlama 的数据不会说谎。2025 年至今，损失超 3,000 万美元的重大攻击事件已发生 15 起以上，总损失超 20 亿美元。

AI 审计工具在这些事件中扮演了什么角色？答案是：几乎没有。因为这些攻击的根因，几乎都不在代码层。

KelpDAO 经过审计了，然后呢？

KelpDAO 并不是一个无人问津的小项目——经过了安全公司的智能合约审计，其底层协议 LayerZero 是行业最广泛使用的跨链基础设施之一。

审计报告白纸黑字，代码干净。然后损失了 2.92 亿美元。

这里有一个关键的区分： 审计覆盖了智能合约代码，但没有覆盖 DVN 配置参数。

审计公司检查的是合约逻辑有没有漏洞——答案是没有。但你们的 DVN 配置为 1-of-1，这在生产环境中意味着什么风险这个问题不在审计范围内。更讽刺的是，事件爆发后，KelpDAO 和 LayerZero 之间爆发了一场公开的责任争议。

据 CoinDesk 报道，KelpDAO 声称 1-of-1 配置是 LayerZero 的默认设置，其快速入门指南和默认 GitHub 配置都指向 1/1 DVN，且约 40% 的 LayerZero 协议都在使用这个配置。

LayerZero 则反驳称，他们曾明确警告过不应在生产环境中使用 1-of-1 配置。事件发生后，LayerZero 全面禁止了 1-of-1 配置——但这属于亡羊补牢。

谁对谁错暂且不论——这个争议本身就说明了一件事：

安全的关键决策，不在代码里，而在人与人之间的沟通、文档、默认值和我以为你知道里。

AI 审计工具能扫描代码中的每一个函数调用，但它不会去问："你们的跨链桥用了几个验证节点？"这不是 AI 不够聪明，是它根本不知道该问这个问题。

AI 审计的四个盲区

安全研究员 samczsun（前 Paradigm 安全研究员、SEAL 911 创始人）的大意是：

找到漏洞的人和找不到的人，区别在于前者能观察到不一致性，并持续追问下去。

盲区一：架构设计决策

AI 能审计代码逻辑，但无法判断：这个系统的安全假设是否成立？

KelpDAO 就是典型案例：1-of-1 DVN 在代码层完全合法——合约逻辑没有 bug，函数调用正确，访问控制合理。但架构上，它创造了一个单点故障。AI 看到的是"代码正确"，看不到"设计危险"。

同类案例不在少数。Multichain 的 MPC 密钥由 CEO 一人控制，Beanstalk Farms 的治理提案没有时间锁——代码都没问题，架构都是定时炸弹。

盲区二：配置参数审计

智能合约部署到链上时需要设定大量参数——验证节点数量、多签阈值、时间锁时长、预言机来源、清算阈值。这些参数决定了系统的实际安全水平，但它们不在代码里，而在部署配置中。

AI 审计工具扫描的是 .sol 文件的逻辑，不会去检查你实际部署时填了什么参数。就像审计师检查了银行金库的门锁设计没问题，但没人检查运营时门到底有没有锁上。

KelpDAO 的 DVN = 1 就是"门没锁"。Nomad Bridge 2022 年的灾难更离谱——审计完成后的一次代码升级中，Merkle 根被初始化为 0x00，意味着任何消息都能被伪造为有效。这不是审计失职，是审计漂移：审计了的代码和最终上线的代码不是同一份。

盲区三：运营流程与私钥管理

AI 看不到硬件安全模块（HSM）的配置，看不到私钥存在哪里，看不到操作员的 OpSec 水平，更看不到那些临时权限有没有被撤销。

Ronin Network 的教训最为惨痛：攻击者获取了 5 个验证节点的私钥（其中 4 个属于 Sky Mavis，1 个属于第三方 Axie DAO 验证者），2021 年的一次临时授权从未撤销。攻击者盗走 6.24 亿美元。攻击发生 6 天后才被发现——因为没有人监控验证节点的异常行为。

Mixin Network 把私钥存在云端数据库。Bybit 的 Safe 多签前端被 Lazarus 植入恶意 JavaScript，签名者看到的界面和实际签名的交易完全不同——合约本身完好无损，AI 合约审计对此完全无效。

盲区四：组合风险

DeFi 是乐高积木。单个模块安全，不等于组合后安全。

KelpDAO 的架构就是三层叠加：rsETH（再质押协议）+ LayerZero（跨链桥）+ Aave V3（借贷协议）。每一层单独看都有道理——但叠加后的风险是指数级的。"如果跨链桥被攻破，Aave 的抵押品会发生什么？"——这个问题不在任何审计报告里，因为它不属于任何单一模块的审计范围。

OpenZeppelin 在 KelpDAO 事后分析中明确指出："智能合约审计通常不会检查第三方协议集成在部署时的配置方式，也不会检查基础设施组件是否引入了单点故障。

AI 目前做不到这一点——它审的是代码，不是意图。

案例：这不是偶发，这是一种模式

如果你认为 KelpDAO 是倒霉的偶然，以下三个案例会让你重新思考。

案例一：Bybit —— 14.6 亿美元，前端被植入恶意代码

时间： 2025 年 2 月 21 日 损失： 约 14.6 亿美元（401,347 ETH + stETH 及其他代币） 攻击类型： 供应链攻击

Bybit 使用 Safe 作为多签钱包解决方案。攻击者（FBI 确认为 Lazarus Group）入侵了一名 Safe 开发者的机器，通过 AWS S3 bucket 向 Safe 的前端 JavaScript 注入恶意代码。

当 Bybit 的多签签名者打开 Safe 界面准备签名时，他们看到的是正常的交易内容——但实际签名的交易已被篡改，将控制权转移给了攻击者。

关键点： 智能合约本身没有漏洞。多签逻辑正确，代码经过审计。攻击发生在前端——一个 AI 合约审计工具根本不会检查的层面。这是 DeFi 历史上最大单笔损失事件。

案例二：Ronin Network —— 6.24 亿美元，临时权限忘了撤销

时间： 2022 年 3 月 23 日（3 月 29 日披露） 损失： 约 6.24 亿美元（173,600 ETH + 25.5M USDC） 攻击类型： 私钥泄露 + 运营安全失败

Ronin 是 Axie Infinity 的侧链，9 个验证节点中 5 个即可批准提款。攻击者通过社会工程攻破了 Sky Mavis 员工的设备，获取了 5 个验证节点的私钥（其中 4 个属于 Sky Mavis，1 个属于第三方 Axie DAO 验证者）。其中部分密钥的权限来自 2021 年的一次临时授权——本应在任务完成后撤销，但没有人记得去做这件事。

攻击发生 6 天后才被发现。 一个用户在尝试提取 5,000 ETH 时发现桥接无响应，才触发了警报。

关键点： 没有任何代码漏洞。问题是"谁持有密钥"和"权限有没有过期"——这是纯粹的运营安全问题。FBI 确认攻击者为 Lazarus Group。

案例三：Drift Protocol —— 2.85 亿美元，数月精心策划的社会工程

时间： 2026 年 4 月 1 日 损失： 约 2.85 亿美元（占 TVL 的 50% 以上） 攻击类型： 社会工程 + 管理员密钥泄露 + 预言机操纵

Drift Protocol 是 Solana 上的去中心化交易平台。这次攻击不是简单的密钥被盗——攻击者花费数月时间与 Drift 团队建立信任关系，最终渗透进安全委员会。

他们诱使安全委员会成员使用 Solana 的"durable nonces"功能预签名关键交易，从而获取了管理员权限。随后创建了一个虚假代币（CarbonVote Token），注入流动性，操纵预言机价格，在 12 分钟内抽走了协议 50% 以上的资金。

关键点： 智能合约逻辑没有问题。攻击利用的是人的信任——数月的社会工程铺垫，是 AI 无论多强大都无法检测到的。疑似与朝鲜关联组织有关（Chainalysis）。

模式总结

三个案例，三种攻击方式，一个共同点：根因都不在代码层。

Bybit：前端供应链——AI 审不到

Ronin：私钥管理和权限撤销——AI 看不到

Drift：社会工程和人的信任——AI 管不了

再加上 KelpDAO 的配置错误——这四起事件的总损失超过 22 亿美元。每一起都发生在 AI 审计的边界之外。这些信任假设，没有一个写在代码里，所以没有一个被 AI 审到。

结论：工具不错，但问题问错了

AI 审计工具正在变得越来越好。这是事实，不应该被否认。在代码层已知漏洞的检测上，AI 已经是最高效的初筛工具，误报率虽然仍是痛点，但持续改进中。正确的定位是：AI = 高效初筛器，不是最终裁判。

但是，如果我们问的问题是"如何用 AI 解决区块链安全问题"，我们可能从一开始就问错了。

没有任何 AI 工具会在审计报告里写："你们的 DVN 配置应该是 3-of-5，不是 1-of-1。"没有任何 AI 工具会检查你的工程师是否把私钥存在云端数据库。没有任何 AI 工具会在凌晨 2 点发现攻击者已控制了你的 5 个验证节点——Ronin 网络等了 6 天。没有任何 AI 工具能识破花费数月建立信任关系的社会工程攻击——Drift Protocol 的教训。

这不是 AI 不够聪明，这是审计的边界定义问题。当前的 AI 审计工具覆盖的是代码层，而真正造成巨额损失的风险分布在配置层、架构层、运营层和组合层——这些层面目前几乎没有系统性的审计手段。

行业真正需要的是：

配置审计：像审代码一样审每一个部署参数——DVN 数量、多签阈值、时间锁设置

架构威胁建模：在设计阶段就问"如果这个组件被攻破，会发生什么"

运营安全审查：私钥管理方案、操作员培训、权限撤销流程

组合风险评估：任何与外部协议的集成，都需要独立的风险建模

值得注意的是，KelpDAO 事件后，DeFi 行业展示出了自发协调的能力——DeFi United 在 10 天内筹集了约 1.6 亿美元来覆盖 Aave 坏账。这恰恰印证了一点：

AI 审计解决不了的问题，需要人来解决。

参考来源：

Aave Governance — rsETH Incident Report (April 20, 2026)

CoinDesk — "Kelp DAO Claims LayerZero's 'Default' Settings Are What Actually Caused the $290 Million Disaster"

CoinDesk — "Aave Could Face Up to $230M in Losses After Kelp DAO Bridge Exploit"

CoinDesk — "The $13 Billion DeFi Wipeout in Two Days"

Forbes — "AAVE wETH Exploit: $200M Bad Debt Hits Depositors"

Unchained Crypto — "Kelp DAO Disputes LayerZero's Account of the $290 Million Exploit"

LayerZero — KelpDAO Incident Statement

SlowMist Team (@SlowMist_Team) — KelpDAO exploit analysis

OpenZeppelin — "$292 Million Lost, Zero Bugs Found: Lessons From the KelpDAO Hack" (2026/4)

QuillAudits — "KelpDAO rsETH $292M Bridge Exploit (Explained)"

Bybit Official Timeline; Elliptic; SlowMist; BlockSec — Bybit hack analysis

Coinbase; Halborn — Ronin Network hack analysis

Chainalysis; Unchained Crypto — Drift Protocol hack analysis

Yahoo Finance — AAVE token price movement analysis

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。