LayerZero遭朝鲜黑客组织攻击：Kelp DAO损失2.9亿美元，Lazarus Group被指为元凶

LayerZero遭朝鲜黑客组织攻击：Kelp DAO损失2.9亿美元，Lazarus Group被指为元凶

在去中心化金融（DeFi）领域的一次重大网络安全警报中，跨链互操作性协议LayerZero正式将Kelp DAO遭受的2.9亿美元巨额攻击归咎于臭名昭著的朝鲜国家支持黑客组织Lazarus Group。

LayerZero于2025年4月10日通过其官方社交媒体渠道发布的公告详细描述了一种复杂的攻击向量，该攻击破坏了协议的基础设施，标志着今年最重大的加密货币盗窃案之一，并引发了关于跨链系统中验证器安全性的紧迫问题。

LayerZero攻击详情：复杂的基础设施攻击

攻击者对LayerZero架构的关键组件——去中心化验证网络（DVN）执行了多阶段攻击，该网络负责验证跨链消息。根据该协议的取证报告，Lazarus Group的操作人员并未针对智能合约漏洞，而是专注于远程过程调用（RPC）节点基础设施。

首先，黑客入侵了两个独立的RPC节点。随后，他们用旨在拦截和操纵交易数据的恶意二进制文件替换了合法软件。为了完成接管，攻击者对正常运行的节点发起了分布式拒绝服务（DDoS）攻击。这种流量冲击有效地使它们失效，迫使整个系统依赖现在已被入侵的恶意节点。因此，这种重定向使黑客能够授权欺诈性跨链交易，从DAO的合约中耗尽rsETH（Kelp的流动性质押代币）。

Kelp DAO漏洞：2.9亿美元的后果

基础设施受损对Kelp DAO的直接影响是灾难性的。攻击者成功窃取了价值约2.9亿美元的rsETH。该代币代表了跨各种流动性质押协议的质押以太坊。这次盗窃在去中心化交易所引发了巨大的抛售压力，导致暂时性价格波动。

LayerZero的事后分析强调了一个关键的安全配置问题。该协议此前曾建议Kelp DAO采用多DVN设置。这种配置使用多个独立的验证器来保护消息，创建冗余。然而，Kelp DAO为其rsETH操作保持了单验证器结构。这一决定创造了一个单点故障。

该漏洞特定于Kelp DAO在LayerZero上的应用程序配置。重要的是，LayerZero表示其网络上的其他资产或应用程序未受此特定事件影响。

Lazarus Group不断演变的加密货币策略

将攻击归因于Lazarus Group（也称为APT38）具有重要的地缘政治意义。Chainalysis和Mandiant等网络安全公司持续跟踪该组织的活动。他们认定Lazarus是朝鲜武器计划的主要资助者。

该组织的策略已从简单的网络钓鱼演变为高度复杂的基础设施攻击。例如，2022年的Ronin Bridge黑客攻击通过泄露的私钥窃取了超过6亿美元。同样，2023年的Atomic Wallet攻击涉及复杂的供应链入侵。

LayerZero攻击代表了进一步的演变，针对跨链协议的节点基础设施层，而不是应用程序的智能合约代码。这种转变表明了对区块链架构的深刻理解，并凸显了在整个技术堆栈中实施深度防御策略的必要性。

跨链桥安全性受到严格审查

该事件立即重新引发了关于跨链桥安全性的长期辩论。这些协议在一个链上锁定资产并在另一个链上铸造代表，由于它们托管着巨大价值，已成为主要目标。

主要桥梁黑客攻击的比较揭示了一种模式：

• Ronin Bridge（2022年）：通过泄露的验证器密钥窃取6.25亿美元
• Wormhole（2022年）：通过签名验证缺陷窃取3.26亿美元
• Nomad Bridge（2022年）：由于可重复使用的批准错误窃取1.9亿美元
• LayerZero/Kelp DAO（2025年）：通过RPC节点入侵窃取2.9亿美元

这种攻击向量——入侵向链上合约提供数据的链下基础设施——提出了新的挑战。它将战场从区块链的不可变代码转移到传统数据中心中的可变服务器和节点。因此，安全审计必须扩展到智能合约之外，包括整个预言机和验证网络。

响应、恢复和监管影响

LayerZero的响应团队在检测到异常活动后迅速采取行动。受感染的RPC节点立即被隔离和替换。网络服务在几小时内恢复。该公司现在正与国际执法机构、TRM Labs和Elliptic等区块链情报公司以及中心化交易所合作，追踪并可能冻结被盗资金。

这种合作至关重要，因为Lazarus Group通常通过Tornado Cash等混合器和跨链交换的复杂交易链来混淆踪迹。

从监管角度来看，这次攻击可能会加速美国和欧盟等司法管辖区关于对跨链协议实施更严格安全标准以及要求DAO对其配置选择承担更高责任的讨论。

结论

归因于Lazarus Group的2.9亿美元LayerZero黑客攻击突显了DeFi安全的关键时刻。它表明威胁不再局限于智能合约逻辑，而是扩展到支持跨链通信的基础设施。虽然LayerZero坚称核心协议仍然健全，但该事件凸显了应用程序层安全配置（如采用多验证器设置）的至关重要性。

对于整个行业而言，这一事件是一个严峻的提醒，表明国家行为者正在不断完善其策略，而生态系统的防御机制必须发展得更快以保护用户资产。正在进行的调查和资金追踪工作将作为国际合作打击加密货币网络犯罪的测试案例受到密切关注。

常见问题解答

Q1：LayerZero协议本身被黑客攻击了吗？
A1：没有。LayerZero的分析指出，该漏洞是Kelp DAO在网络上设置其应用程序时的特定安全配置问题，而不是LayerZero协议代码的根本缺陷。使用LayerZero的其他应用程序未受影响。

Q2：什么是RPC节点，为什么它成为目标？
A2：RPC（远程过程调用）节点是为区块链应用程序提供数据的服务器。在这种情况下，LayerZero的DVN使用RPC节点从不同链获取和验证状态信息。通过入侵这些节点，攻击者可以向系统提供虚假数据，授权欺诈交易。

Q3：Lazarus Group是什么，他们为什么针对加密货币？
A3：Lazarus Group是与朝鲜侦察总局有关的网络犯罪单位。他们针对加密货币是因为它提供了一种绕过国际金融制裁并为政权产生外汇的方法，通常用于资助其军事和武器计划。

Q4：什么是多DVN设置，它如何提供帮助？
A4：多DVN设置要求在批准交易状态之前，多个独立的验证网络达成一致。这创造了冗余。如果一个DVN（或其RPC节点）被入侵，其他DVN可以识别差异并防止欺诈交易最终完成。

Q5：Kelp DAO漏洞中被盗的资金能否追回？
A5：追回很困难但并非不可能。LayerZero正与区块链分析公司和交易所合作追踪资金。如果被盗资产转移到与当局合作的中心化交易所，它们可能会被冻结。然而，Lazarus Group非常擅长使用隐私工具和去中心化交易所洗钱。