Cardano创始人Charles Hoskinson在最新直播中表示,KelpDAO约2.92亿美元的黑客事件不仅是一次普通的跨链桥故障,更是对以太坊再质押、跨链消息传递和借贷堆栈如何将单一漏洞转化为系统性风险的广泛警示。
Hoskinson认为,4月18日的攻击暴露了现代DeFi最脆弱的环节:未必是应用层的智能合约,而是协议间的验证层和相互依赖性。他表示,此次攻击导致KelpDAO以太坊托管合约中约116,500枚rsETH被窃取,应促使行业更广泛讨论跨链桥信任假设、验证器设计以及不良抵押品在借贷市场中的扩散速度。
Cardano创始人警告以太坊DeFi核心存在危险缺陷
Hoskinson并未进行标准的事后分析,而是将内部事件报告材料通过AI转化为网站,带观众逐步解析攻击机制。这一结构支撑了他的核心观点:他认为漏洞并非始于KelpDAO内部的合约数学错误,也非LayerZero的明显账务缺陷,而是源于一条被误认为合法的伪造跨链消息,该消息导致资金在以太坊上被释放。
“因此,这既不是Kelp的智能合约问题,也不是LayerZero的智能合约问题,而是一次跨链消息伪造,”Hoskinson说。“这是一种全新的漏洞类型。”
这位Cardano创始人反复强调一个关键设计选择:据报道使用的单验证器配置(一比一)。他解释称,最佳实践应是多验证器模型(如五选三),但KelpDAO的设置依赖单个活跃DVN。他认为,这在已经叠加了质押封装、再质押协议、跨链桥和借贷平台的系统中造成了不可接受的单点故障。
“失败在于验证逻辑,而非应用逻辑,”他表示。“Kelp的合约本身没有问题。它们经过审计且运行良好。问题出在跨链桥配置。” Hoskinson还强调,行业至今仍未对责任归属达成共识。
根据他的总结,漏洞发生后出现了三份独立的根本原因分析:分别来自LayerZero、KelpDAO,以及关联LlamaRisk和Aave治理讨论的报告,但各方均未完全达成一致。这使得漏洞究竟发生在消息层、验证器设置、KelpDAO的接收逻辑还是三者衔接处,至今尚无定论。
他认为此事尤其值得关注的原因不仅是盗窃本身,还包括后续发展。攻击者未在去中心化交易所抛售窃取的rsETH,而是将其作为抵押品投入借贷市场以借出更多流动性资产。这使得一次漏洞利用演变为其他协议的资产负债表问题,留下被Hoskinson称为“有毒抵押品”的隐患。
他将此动态称为事件真正的新特征。“这不仅是跨链桥黑客事件。它蔓延至借贷市场,进而在这些借贷协议中形成坏账传染,引发挤兑——我们看到因2.9亿美元的黑客事件,在极短时间内有130亿美元TVL被提取。”
这位Cardano创始人表示,更广泛的DeFi流动性冲击远超出KelpDAO本身。根据其演示中引用的公开报道,他指出至少九个协议直接受影响,仅Aave就损失66亿至84.5亿美元,而rsETH在攻击后24小时内交易价格在1,600至2,500美元间剧烈波动。
他还提到拉撒路组织(Lazarus)可能参与其中,但承认 attribution 尚未确认。“大量证据表明与拉撒路存在关联,”他表示,但补充尚无独立取证公司确证此事。
截至发稿,Cardano(ADA)交易价格为0.2504美元。
