KELP (KELP)

🛑 LayerZero 承认 $292M Kelp 漏洞错误

根据 Coindesk 报道，LayerZero 承认在价值 $292M 的 Kelp 漏洞中“犯了错误”。该协议最初将事件描述为开发者配置失误，但现在表示它对让自身验证者在易受攻击的设置中保护高价值转账的决定“负全责”。

我曾认为预言机是 DeFi 最大的弱点。

但回顾实际损失后，我意识到问题并不只在预言机。

错误的预言机很危险，但即使预言机是正确的，数据仍可能在以下环节被破坏。

以下是预言机操纵导致的损失：

– 2025 年：预言机操纵导致 88 亿美元的损失，位列 OWASP 智能合约十大漏洞的第二位

– 2026 年 4 月：加密整体损失达到 6.067 亿美元

– 与预言机操纵相关的两起案件 @KelpDAO（2.93 亿美元）和 @DriftProtocol（2.85 亿美元）占当月总损失约 95%

– 其他显著案例：@mangomarkets（2022 年）损失约 1.17 亿美元，@rhea_finance（2026 年）损失 760 万美元

当价格数据错误时，损失不会止于一处，而是通过自动机制（清算、借贷、再平衡）迅速蔓延。

那么预言机是唯一的单点故障吗？

大多数 DeFi 协议并不直接使用预言机的原始数据。它们查询已经通过中间层（Subgraph、API、索引器等）索引和处理的数据。

明确区分这两类：

– 预言机：负责原始数据源

– 数据基础设施：负责将数据提取、结构化并准确、及时地提供

即使预言机提供了正确的数据，如果索引层工作不佳或速度慢，应用仍可能收到错误或过时的数据。

快速结算 + AI 代理使问题更加严重：

– 区块链将结算时间缩短至仅几秒

– 在传统金融中，数据错误仍有时间介入。区块链上则没有

– AI 代理开始完全自动化地交易和管理风险

– 当大量代理对同一错误的价格数据作出反应时，损失会以极快的速度蔓延，因为没有及时的人为干预

→ 这也是在 Great Collateral 实验中，DTCC 必须使用 @graphprotocol 的 Subgraph 作为数据层的原因。

个人认为，预言机并非唯一的单点故障，它只是一条数据供应链中的环节。

真正的薄弱点在于整个数据基础设施，从数据收集、索引、查询到应用使用数据的整个过程。

朝鲜黑客从 KelpDAO 提走了 $292M。

攻击方式：他们对外部节点进行 DDoS，使其自动切换到他们已被入侵的两个内部节点。

目前约有 47% 的 LayerZero 应用正在使用完全相同的默认 1 对 1 验证器设置。