Back to Blog

電子報 - 2026年4月

Code Auditing
April 30, 2026
4 min read
Key Insights

四月份三大 DeFi 安全事件

KelpDAO:約 2.9 億美元

2026 年 4 月 18 日,KelpDAOrsETH LayerZero OFT 跨鏈橋遭到攻擊,損失約 2.9 億美元

根本原因是 KelpDAO 採用了不安全的 1-of-1 DVN 配置,這使得跨鏈消息驗證變成了單點故障。攻擊者在破壞了受 LayerZero Labs DVN 信任的 RPC 基礎設施後,迫使唯一的驗證者為偽造的跨鏈消息進行簽名確認。結果,未經 Unichain 源端發生對應事件,Ethereum 上就憑空釋放了 116,500 枚 rsETH。

該事件並非由 LayerZero 協議本身的漏洞引起,而是源於跨橋配置和基礎設施信任假設中更廣泛的營運安全缺失。由於 KelpDAO 僅依賴單一 DVN,因此沒有其他獨立驗證者來質疑該偽造消息。同時,攻擊者毒化了該 DVN 使用的 RPC 節點,並對其餘正常節點發動 DDoS 攻擊,迫使驗證者進入故障轉移狀態,完全依賴攻擊者控制的數據。一旦偽造消息得到驗證,Ethereum 端的 rsETH 適配器便按設計執行並釋放了資金,隨後這些資金被迅速分散並通過多個錢包和鏈進行了洗錢。

此事件凸顯了跨鏈橋安全不能僅依賴協議正確性。項目方應採用具有獨立驗證者的多 DVN 配置,將驗證過程中突發的 RPC 節點中斷視為攻擊信號而非例行可用性問題,並強化將源鏈數據提供給驗證器網絡的基礎設施。

欲了解詳細分析,請閱讀我們的深入解析文章:

https://blocksec.com/blog/the-decentralization-dilemma-cascading-risk-and-emergency-power-in-the-kelp-dao-crisis

Drift Protocol:約 2.85 億美元

2026 年 4 月 1 日,Solana 上的 Drift Protocol 遭到攻擊,損失約 2.85 億美元

根本原因並非智能合約漏洞,而是協議治理與授權流程的失誤。當時,Drift 對高權限操作使用 2-of-5 多簽設置,這意味著五個授權簽署者中任意兩人即可批准關鍵的管理變更。這些操作也沒有經過任何時間鎖(timelock)處理。一旦收集到足夠的批准,即可立即執行。加劇這一風險的是 Solana 的持久 nonce(durable nonce)機制,它允許預簽名交易在很長一段時間內保持有效,而不是像普通交易那樣快速過期。這讓攻擊者有時間提前收集惡意簽名,並等待合適的時機使用。在誘騙五名簽署者中的兩名批准惡意治理交易後,攻擊者隨後提交了這些交易以接管協議的管理權。利用該權限,攻擊者列出了一種名為 CarbonVote Token (CVT) 的虛假抵押資產,操縱其預言機價格,放寬提款限制,並利用這些虛假抵押品通過 Drift Vault 耗盡了大量真實資產。

此事件暴露了 Drift 治理設計中的三個主要弱點。首先,由於被竊取的批准不會快速過期,攻擊者得以將簽名收集與執行分離。其次,缺乏時間鎖意味著管理接管會立即生效,幾乎沒有時間進行檢測或干預。第三,管理權限過大:一旦受到破壞,攻擊者就能創建新的抵押市場、更改預言機設置並放寬提款控制,所有這些都直接促成了盜竊。

此事件表明,治理安全不僅僅是保護私鑰。協議還需要確保完整的簽名和審批流程,為高權限操作增加延遲,限制長期有效的預簽名交易的使用,並縮小單一管理員接管所能造成的影響範圍。

欲了解詳細分析,請閱讀我們的深入解析文章:

https://blocksec.com/blog/drift-protocol-incident-multisig-governance-compromise-via-durable-nonce-exploitation

Rhea Finance:約 1,840 萬美元

2026 年 4 月 16 日,NEAR 上的 Rhea Finance 的 Burrowland 協議由於其保證金交易模組中的業務邏輯缺陷而遭到攻擊,金額約 1,840 萬美元。值得注意的是,截至 2026 年 4 月 23 日,所有被盜資金均已追回。

根本原因是該協議將用戶提供的交換輸出聲明視為 DEX 實際返回的準確金額。然而,惡意用戶可以構建一個循環交換路徑,在路由內循環利用中間輸出,從而人為誇大申報的最終輸出並操縱協議的會計記錄。結果,協議的償付能力和槓桿檢查依賴於一個虛構的值,而非實際收到的金額。該缺陷源於 verify_token_out() 函數,該函數錯誤地將某些中間輸出計算為最終結果的一部分,儘管這些輸出隨後在交換路徑中被重複使用。

繞過這些檢查後,攻擊者通過攻擊者控制的虛假資金池將借入資產路由出協議,而協議僅收到微不足道的價值回報。隨後,攻擊者從這些資金池中提取流動性以獲取資金。通過重複此過程,攻擊者最終從 Burrowland 耗盡了約 1,840 萬美元。

此事件表明,保證金交易協議不應將用戶聲明的交換輸出視為可信輸入。協議需要確保償付能力檢查基於實際接收到的價值,拒絕可以循環利用中間資產的交換路徑,並防止會計邏輯被循環路由所操縱。

以上資訊基於 2026 年 4 月 29 日 00:00 UTC 的數據。

四月份安全事件簡報到此結束。如需深入了解區塊鏈安全事件和 Web3 安全趨勢,您可以探索我們的資源。

您可以在我們的安全事件庫中了解更多資訊。

保持資訊靈通,保持安全!

Sign up for the latest updates

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit