今年4月,Kelp DAO生态遭遇了一场震动整个DeFi行业的安全事件。
攻击者利用跨链桥验证体系中的异常验证机制,成功伪造跨链消息,最终导致超过2.9亿美元资产被非法转移。由于Kelp团队及时暂停协议,额外超过1亿美元的伪造转账未能成功执行,否则损失规模还将进一步扩大。
一个多月后的今天,链上数据已经给出了最新答案。
根据Arkham分析师的持续追踪,原本未被冻结的约2.2亿美元资产目前已经基本完成洗钱流程,仅剩约170万美元仍停留在最初攻击地址中。
这意味着,除了被冻结的7100万美元资产之外,大部分被盗资金已经脱离可追踪状态。
根据Kelp DAO后续披露的信息,攻击并非发生在rsETH本身的智能合约层,而是出现在跨链消息验证环节。
攻击者成功获得了验证网络对一笔不存在交易的签名确认。
在正常情况下,跨链桥需要依赖验证节点确认源链交易真实存在后,目标链才会执行对应资产铸造或释放操作。
然而此次事件中,攻击者构造出虚假的跨链消息,并成功骗过验证系统,使桥接协议误认为链上已经发生真实资产转移。
随后,大量rsETH被非法铸造并转移至攻击者控制地址。
Kelp DAO随后紧急暂停协议运行,并阻止了另外两笔超过1亿美元的伪造跨链消息继续执行。
从最终结果来看,实际损失约为2.92亿美元。
德尔泰分析认为,此次事件最大的警示并非单一漏洞本身,而是跨链生态长期依赖的验证网络成为了新的风险集中点。
当验证层被突破时,即使链上合约代码完全正常,攻击者依然能够获得系统认可的“合法资产”。
4月20日,Arbitrum安全委员会冻结了约30766枚ETH,价值约7100万美元。
这也是整个事件中唯一被成功控制的大额资产。
而就在冻结发生后的第二天,大规模洗钱行动正式开始。
攻击者首先将约75701枚ETH拆分转移至多个新建地址。
随后资金开始进入复杂的多层匿名化网络。
根据多位链上调查人员重建的路径,整体流程大致可以概括为:
ETH拆分转移、跨链兑换、匿名化混币处理、BTC网络流转、再次跨链返回以太坊生态、多地址分散存储。
攻击过程中,大量资金通过跨链协议、隐私工具以及混币系统不断进行拆分和重组。
短时间内,相关协议交易量出现异常暴涨。
部分链上基础设施单日交易量甚至达到平时的数倍乃至十倍以上。
德尔泰认为,这类攻击已经不再是传统意义上的“盗币”。
现代链上洗钱体系更像是一套自动化资金处理网络。
从盗取资产开始,到完成匿名化、跨链迁移、地址拆分和重新聚合,整个过程往往能够在数小时至数天内完成。
对于调查机构而言,越早冻结资产,追回成功率越高。
一旦资金进入多层匿名网络,追踪成本将呈指数级增长。
事件发生后,关于事故责任的争论持续至今。
Kelp方面认为,其采用的验证配置来自官方默认推荐方案,并且此前已经获得相关团队确认。
而另一方则认为,低门槛验证配置本身提高了系统风险。
事实上,从公开数据来看,当时大量跨链应用都采用类似验证模式。
这意味着问题并不仅仅属于某一个项目。
更深层次来看,此次事件暴露出跨链行业长期存在的一个现实问题:
很多项目关注链上合约安全,却忽视了链下验证基础设施的风险。
验证节点、RPC服务、签名系统、监控系统等链下组件,实际上同样属于安全边界的一部分。
如果这些基础设施遭到入侵,那么攻击者完全有机会绕过链上合约本身的防护机制。
德尔泰分析认为,未来跨链安全的核心竞争力,已经不再只是智能合约审计能力,而是整个验证体系和基础设施的安全架构。
截至目前,约7100万美元被冻结资产仍处于法律和监管程序之中。
这部分资产也是整个事件中唯一仍具有实质追回可能性的资金。
与此同时,Kelp已经完成用户补偿和协议恢复工作。
项目方启动资产恢复计划后,重新开放了rsETH功能,并开始将跨链架构迁移至新的跨链通信体系。
对于用户而言,协议运行已经逐步恢复正常。
但对于整个行业而言,事件留下的问题远未结束。
根据公开统计,近年来大型跨链桥攻击事件造成的损失已经累计达到数十亿美元规模。
而Kelp事件再次证明了一点:
当攻击者突破验证层之后,真正的战场往往不在漏洞修复阶段,而是在后续资产追踪与冻结阶段。
此次事件中,超过2.2亿美元资金最终完成洗白,说明链上追踪虽然能够重建完整资金路径,却未必能够阻止资产最终流失。
对于行业来说,未来跨链安全的发展方向或许已经十分明确——不仅要防止攻击发生,更要建立更快速的冻结机制、更高效的风险联动体系以及更完善的资产追踪能力。
Kelp事件即将落幕,但跨链桥安全的考验才刚刚开始。
