文章总结： 2026年4月18日，DeFi协议KelpDAO遭遇2.9亿美元加密货币盗窃，归因于朝鲜Lazarus组织。攻击采用RPC节点投毒与DDoS组合手法，通过污染LayerZero跨链验证层授权虚假交易。事件引发Aave等协议紧急冻结rsETH抵押功能，暴露跨链基础设施安全风险，建议项目方加强节点多样性与多源验证机制。 综合评分： 87 文章分类： 漏洞分析,威胁情报,区块链安全,安全大事件,解决方案

疑似朝鲜APT组织Lazarus Group | 加密货币KelpDAO 遭遇 2.9 亿美元巨额盗窃案

黑白之道

2026年4月23日 08:39 江西

在小说阅读器读本章

去阅读

以下文章来源于李白你好 ，作者助力行业的

李白你好 .

综合性的技术交流与资源共享社区 专注于红蓝对抗、渗透攻防、威胁情报、安全资讯分享。网络安全情报攻防站社区：www.libaisec.com

据区块链安全情报显示，知名 DeFi 流动性质押协议 KelpDAO 于 2026 年 4 月 18 日前后遭受一起规模高达 2.9 亿美元的加密货币盗窃事件。初步归因指向朝鲜国家支持的黑客组织 Lazarus Group（具体为 TraderTraitor 子团队）。此次攻击不仅精准打击了 KelpDAO 的 rsETH 代币，还间接波及 Compound、Euler 和 Aave 等主流借贷协议，凸显出跨境链上消息验证机制在高价值 DeFi 生态中的脆弱性。

事件核心事实

• 损失规模：攻击者窃取约 116,500 枚 rsETH，当前估值约 2.93 亿美元（约 2.9 亿美元）。
• 资金流向：被盗资金随后通过 Tornado Cash 等混币服务进行清洗，试图抹除链上踪迹。
• 攻击发生时间：事件于 4 月 18 日前发生，KelpDAO 当天迅速发布公告，称检测到 rsETH 的“可疑跨链活动”。

KelpDAO 作为以太坊主网上的流动性质押平台，主要业务是接收用户 ETH 存款并进行再质押（restaking），发行可流动的 rsETH 代币。该代币可通过 LayerZero 跨链协议在多链环境中继续赚取收益，同时保持 DeFi 生态中的流动性。此次攻击仅限于 rsETH，未引发其他资产或协议的系统性传染。

攻击技术细节：RPC 节点投毒 + DDoS 双管齐下

根据 LayerZero 官方后续披露的攻击向量，此次行动展现出极高的专业性和资源投入：

1. 目标锁定：攻击者瞄准 rsETH 跨链消息验证层（Decentralized Verifier Network，简称 DVN）。DVN 是 LayerZero 生态中负责验证跨链消息真实性的关键基础设施。
2. 执行手法：

• 攻击者首先入侵并控制部分 DVN 使用的 RPC 节点，向验证器注入虚假区块链数据（poisoned data）。
• 同时对健康的 RPC 节点实施 DDoS 攻击，迫使 DVN 系统放弃正常节点，转而依赖已被污染的节点。
• 结果：验证器错误地将一条从未真实发生在链上的虚假跨链消息认定为有效，进而授权攻击者未经授权转移 rsETH。

1. 攻击复杂度：整个过程高度隐蔽，利用了验证层对 RPC 节点数据的信任机制，属于典型的供应链攻击变种。LayerZero 明确表示，此类攻击需要国家级资源支持才能高效实施。

KelpDAO 迅速响应，暂停了以太坊主网及所有 Layer 2 上的 rsETH 合约，并联合 LayerZero、Unichain 等合作伙伴展开全面调查。

Lazarus 集团归因：初步指标指向国家行为体

LayerZero 在 4 月 20 日发布的分析中指出，攻击的技术特征与已知 Lazarus Group 行为模式高度吻合：

• 历史关联：Lazarus 此前被指控主导 2025 年 Drift Protocol 2.8 亿美元盗窃案，该行动历时六个月，涉及线下会议渗透、恶意代理人及百万美元前期资金投入，展现出极强的长期规划能力。
• 当前证据：虽然尚未公开具体钱包地址或链上指纹，但攻击的手法复杂度、目标选择（高价值流动性质押代币）以及资金清洗路径，均符合 Lazarus 一贯的“TraderTraitor”战术风格。
• 情报评估：多家区块链安全机构初步判定，此为“高度成熟的国家行为体”所为，Lazarus 是当前最可能的责任方。

行业连锁反应与应急处置

• Aave 紧急干预：Aave 协议已冻结 rsETH 作为抵押品的借贷功能，禁止新增存款或借款使用 rsETH 抵押，以防止风险进一步扩散。
• 隔离效果：目前事件被严格控制在 rsETH 范围内，未对 KelpDAO 其他产品或更广泛的 DeFi 生态造成连锁清算。
• 项目方表态：KelpDAO 表示正在全力配合调查，并承诺后续将公布更多调查进展。

点评：DeFi 跨境安全进入新风险阶段

我认为此次事件再次验证了以下关键判断：

1. 跨链验证层已成为高价值攻击面。LayerZero 等互操作性协议虽极大提升了 DeFi 流动性，但其依赖的 DVN/RPC 基础设施若存在信任假设漏洞，将成为国家级威胁行为体的优先目标。
2. Lazarus 的战术升级。从早期的简单智能合约漏洞利用，到如今的 RPC 投毒 + DDoS 结合的混合攻击，显示该组织已在持续投资链上情报收集与基础设施渗透能力。
3. DeFi 风险传染路径：rsETH 作为主流 restaking 代币，已深度嵌入 Aave、Compound 等协议。一旦验证层被攻破，影响可能远超单一项目。
4. 防御建议：DeFi 项目方应立即评估自身 RPC 节点多样性、DVN 去中心化程度及跨链消息的多源验证机制。同时，建议用户在事件调查期间降低 rsETH 相关头寸暴露，直至官方确认安全补丁部署完成。

此案是 2026 年以来规模最大的单一 DeFi 事件之一，也再次提醒全球加密生态：技术创新速度必须与安全防御能力同步。KelpDAO 事件后续调查结果值得持续追踪，Lazarus 的下一步行动或将成为判断其战略重点的重要风向标。

参考：https://x.com/LayerZero_Core/status/2046081551574983137

https://www.bleepingcomputer.com/news/security/kelpdao-suffers-290-million-heist-tied-to-lazarus-hackers/

网络安全情报攻防站

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 《疑似朝鲜APT组织Lazarus Group | 加密货币KelpDAO 遭遇 2.9 亿美元巨额盗窃案》