一個沒人看的開源AI工具，12天前就預警了Kelp DAO的2.92億美元漏洞

4 月18 日，Kelp DAO 被竊2.92 億美元，是2026 年迄今最大的DeFi 事故。漏洞不在合約。 （前情提要：2026最大DeFi事故：Kelp遭駭2.92億美元，Aave壞帳近2億、rsETH背書崩潰） （背景補充：以太坊能繼續上漲嗎？從技術與基本面，帶你瞭解真相） 4 月18 日，Kelp DAO 被竊2.92 億美元，是2026 年迄今最大的DeFi 事故。漏洞不在合約程式碼裡，而在LayerZero 跨鏈橋的1-of-1 驗證節點配置－單點失守就能偽造跨鏈訊息。作者12 天前用自己開發的開源AI 審計工具掃描Kelp 時，就已經標記過這個風險點。本文複盤攻擊全過程，也誠實反思工具當時沒做對的三件事。 Kelp DAO 是什麼 Kelp DAO 是一個建在EigenLayer 之上的流動性再質押協議。機制是這樣的：使用者把ETH 或流動質押代幣（stETH、ETHx）存進Kelp 合約，合約再把資產委託給EigenLayer 的營運節點做再質押——同時給多個AVS（Actively Validated Services，主動驗證服務）提供安全性。作為回報，使用者拿到rsETH 作為憑證。和直接在EigenLayer 上再質押（資產被鎖住）不同，rsETH 是流動的——可以交易、可以在Aave 等借貸協議裡當抵押品、也可以跨鏈。 為了實現這種跨鏈流動性，Kelp 用LayerZero 的OFT（Omnichain Fungible Token，全鏈同質化代幣）標準在16 條以上的鏈上部署了rsETH。當你把rsETH 從以太坊跨到某條L2 時，LayerZero 的DVN（Decentralized Verifier Network，去中心化驗證網路）會校驗這條跨鏈訊息是否合法。這套橋架構正是後面故事的核心。 Kelp 由Amitej Gajjala 和Dheeraj Borra（之前是Stader Labs 的聯合創始人）發起，2023 年12 月上線，TVL 峰值20.9 億美元，治理採用6/8 多簽加10 天合約升級時間鎖。治理代幣KERNEL 統管Kelp、Kernel、Gain 三條產品線。 被盜事件 2026 年4 月18 日，攻擊者從Kelp DAO 的跨鏈橋抽走了116,500 枚rsETH，約合2.92 億美元——2026 年迄今最大的DeFi 攻擊事件。根本原因不是智慧合約漏洞，而是設定問題：一個1-of-1 的DVN 設定（也就是只有1 個驗證節點、透過1 個簽章就算數），讓攻擊者用單一被攻破的節點就偽造了跨鏈訊息。 12 天前，4 月6 日，我開源的安全稽核工具就已經把這個攻擊面標了出來。 先說一句：這次被盜，是真實的人真實地虧錢。從沒碰過rsETH 的Aave WETH 存款人，資金被凍了；多個協議裡的LP 要承擔他們根本沒簽約承擔的壞帳。這篇文章分析發生了什麼、我們的工具捕捉到了什麼——但人們實際損失的代價，比任何評分錶都更重要。 完整報告掛在GitHub 上，commit 時間戳任何人都能驗證。以下講講我們抓到了什麼、漏掉了什麼，以及這件事對DeFi 安全工具意味著什麼。 46 分鐘，DeFi 震動 UTC 時間4 月18 日17:35，攻擊者攻破了那個孤立的DVN 驗證節點，然後讓它”批准”了一條偽造的跨鏈訊息。 LayerZero 的Endpoint 看到DVN 透過了，就把訊息透過lzReceive 遞給Kelp 的OFT 合約——合約照做，在以太坊主網上鑄出了116,500 枚rsETH。訊息聲稱其它鏈上鎖了等值資產做擔保。那些資產從來就不存在。 接下來是一套標準的DeFi 洗錢流程： 把偷來的rsETH 當抵押品存進Aave V3、Compound V3、Euler 用這些沒有真實擔保的抵押品，借出約2.36 億美元WETH 集中約74,000 枚ETH，透過Tornado Cash 出金 46 分鐘之後的18:21，Kelp 的緊急暫停多簽凍結了合約。攻擊者隨後兩次追擊（各40,000 枚rsETH，約1 億美元）全部revert——這次暫停又擋下了約2 億美元。 但波及範圍仍然慘烈。 Aave V3 吞下約1.77 億美元壞帳。 AAVE 代幣暴跌10.27%。 ETH 跌3%。 Aave 上WETH 的使用率瞬間拉滿到100%，儲戶搶著撤。 20 多條L2 上的rsETH，一夜之間全都成了價值存疑的資產。 4 月6 日，報告抓到了什麼 4 月初，就在4 月1 日Drift Protocol 被盜2.85 億美元之後不久，我寫了一個開源的Claude Code 技能crypto-project-security-skill ——一套AI 輔助的架構風險評估框架，用公開資料（DeFiLlama、GoPlus、Safe API、鏈上協議）來評估DeFi 協議。它不是程式碼掃描器，也不是形式化驗證工具。 Drift 事件讓我看清楚一點：真正導致最大損失的，不在智慧合約程式碼裡——而在治理漏洞、配置疏忽、架構盲區，這些程式碼掃描器永遠看不見的地方。於是我寫了一個專門評估這幾層的工具：治理結構、預言機依賴、經濟機制、跨鏈架構，把每個協定和歷史上著名攻擊（Drift、Euler、Ronin、Harmony、Mango）的攻擊模式做比較。 4 月6 日，我對Kelp DAO 跑了一次完整審計。 完整報告公開在GitHub 上，帶有不可篡改的commit 時間戳記。 報告給Kelp 的綜合分診評分是72/100（中度風險） 。事後看，這個分打得太寬鬆——那幾個沒解答的跨鏈資訊缺口本該把分數拉低。但即便是在中度風險評級下，報告也點到了後來被真實利用的那個攻擊面。 下面這張截圖，是報告”資訊缺口”部分的原文——關於Kelp 的DVN 配置的那個問題，最後變成了2.92 億美元被盜的根因： 圖註：4 月6 日報告的”資訊缺口”章節，DVN 配置不透明被直接點名 以下...