从民事法律角度看，谁应当承担责任？受害者能否真正获得赔偿？

撰文：易浩天律师

2026 年 4 月 18 日，一名攻击者在 46 分钟内从 KelpDAO 的跨链桥中盗取了 116,500 枚 rsETH，价值约 2.92 亿美元。这是 2026 年迄今为止最大的 DeFi 安全事件。被盗代币随即被存入 Aave V3 等借贷协议作为抵押品，借出约 2.36 亿美元的 ETH，在 Aave 平台上造成了 1.77 至 2 亿美元的坏账，引发了波及九个以上 DeFi 协议的连锁反应，Aave 的总锁仓量（TVL, Total Value Locked）一夜蒸发约 60 亿美元。

事件经过已被广泛报道，本文不再赘述。事实上，作者本人也有几万 U 取不出来...所以作者本人做研究的时候很有动力。本文要探讨的是一个不同的问题：从民事法律角度看，谁应当承担责任？受害者能否真正获得赔偿？

答案比加密社区最初的互相指责要复杂得多。经过对适用法律框架的系统分析，我认为：KelpDAO 和 LayerZero Labs 承担共同过错责任（concurrent liability），过错比例大致为 KelpDAO 60% / LayerZero 40%；同时，两个协议服务条款中的责任上限条款几乎可以确定是不可执行的。

核心责任问题：两个失败，一次攻击

围绕这次攻击的讨论总是从同一个争论开始：这是 KelpDAO 的错（选择了 1-of-1 的 DVN 配置），还是 LayerZero 的错（其运营的 DVN 的 RPC 基础设施被投毒）？

答案是：两者都有责任。

（一）KelpDAO 做错了什么

LayerZero 的跨链消息协议使用去中心化验证器网络（DVN, Decentralized Verifier Network）来验证从一条区块链发送到另一条区块链的消息是否真实。该协议被设计为高度灵活的：每个部署在 LayerZero 上的应用程序可以自行选择需要多少个 DVN 达成共识才能信任一条消息。LayerZero 自己的文档推荐至少使用 2-of-3 的配置，即至少三个独立验证器中有两个确认消息后才予以接受。

KelpDAO 选择了绝对最低配置：1-of-1。一个验证器。零容错。

这意味着任何人只要能够攻破、欺骗或操控这一个验证器，就可以伪造任意跨链消息，包括一条指示 KelpDAO 的桥释放其全部 rsETH 储备到攻击者控制地址的消息。而这正是实际发生的事情。

此事颇为荒谬：KelpDAO 的桥在二十多个区块链网络上锁定了约 16 亿美元的总价值。该协议选择用一个单点故障（single point of failure）来保护这些资产，相当于用一把挂锁保护银行金库，而制造商明确建议至少使用三锁系统。

在传统侵权法（tort law）框架下，这一分析相当直接。《侵权法重述（第二版）》（Restatement (Second) of Torts）将过失（negligence）定义为低于法律为保护他人免受不合理风险伤害而确立的注意标准的行为。[1] 对于专业行为人，管理数十亿美元用户资产的协议运营者无疑属于此类，注意标准提升至该行业从业者通常具备的技能和知识水平。[2]

最经典的风险效用分析框架由美国联邦第二巡回上诉法院勒尼德·汉德法官（Judge Learned Hand）在「卡罗尔拖船案」（United States v. Carroll Towing Co.）[3]中提出：如果预防措施的成本（B）低于损害发生的概率（P）乘以损害的规模（L），那么未采取该预防措施就构成过失。即：当 B < P×L 时，不采取预防措施即为过失。

在本案中，这个等式没有任何悬念：

• P（概率）：跨链桥攻击是 DeFi 中最常见、损失最大的攻击类型之一。Wormhole（3.2 亿美元，2022 年）、Ronin（6.25 亿美元，2022 年）、Nomad（1.9 亿美元，2022 年），以及 Drift Protocol（2.85 亿美元，2026 年 4 月 1 日，仅在本次攻击的 17 天前）都表明桥接安全是一个已知的、活跃的威胁。
• L（损害规模）：直接损失 2.92 亿美元，加上下游协议数亿美元的连锁坏账。
• B（预防成本）：将桥的 DVN 配置从 1-of-1 更改为 2-of-3。额外成本：微小的验证延迟（几秒钟）和 DVN 费用（相对于所保护的资产价值而言可以忽略不计）。

没有任何一个理性的协议运营者能够为如此规模的资产辩护使用 1-of-1 配置。预防成本微乎其微，而预期损害是灾难性的。

值得注意的是，行业同行的做法提供了重要参照。SparkLend 对 rsETH 设定的贷款价值比（LTV）为 72%，Fluid 约为 75%，两者都远低于 Aave 的 93%。这种保守态度或反映了整个行业对 rsETH 底层桥接风险的认知。如果连借贷协议都对 rsETH 的桥接风险保持警惕，那么作为桥接本身的运营者，KelpDAO，理应承担更高的安全标准。然而事实恰恰相反：运营桥接的一方选择了最低安全配置。

还有一个重要的抗辩需要讨论：链上透明性抗辩。1-of-1 的 DVN 配置是公开可查的链上数据，任何技术能力足够的用户都可以通过查询 LayerZero EndpointV2 合约来验证桥接的安全参数。KelpDAO 可能会主张，既然配置是公开的，用户在存入资产前有机会（也有责任）评估桥接的安全性。这构成了事实上的风险自担抗辩（assumption of risk），不同于合同层面的服务条款弃权（将在第二部分分析）。这一抗辩的力度取决于法院如何看待 DeFi 用户的「合理性」标准，是否可以期望普通 DeFi 用户在存入资产前审查桥接的 DVN 配置？对于机构用户和高技术能力的「巨鲸」（whale），这一抗辩可能有效；对于普通散户，说服力则大为减弱。

（二）LayerZero 做错了什么

但 KelpDAO 的配置选择本身并不足以造成损失。这次攻击还需要攻击者欺骗 LayerZero 的 DVN，使其为一笔从未发生过的交易签署验证。正是在这一环节上，LayerZero 的法律风险变得清晰。

根据知名区块链安全公司慢雾科技（SlowMist）创始人 Cos（余弦）发布的详细分析，[4]这次攻击并非对 DVN 密钥的破解或 LayerZero 协议逻辑的利用。攻击者瞄准的是 DVN 的上游数据源：DVN 用来读取区块链状态的 RPC 节点。

攻击分五个步骤执行：

• 攻击者获取了 LayerZero DVN 使用的 RPC 节点列表。
• 攻击者攻破了两个独立的 RPC 节点集群，将合法的`op-geth`二进制文件替换为植入木马的版本。
• 木马化的二进制文件采用选择性欺骗（selective spoofing）：仅对来自 DVN IP 地址的请求返回伪造数据。所有其他 IP 地址，包括 LayerZero 自己的 Scan 监控服务，都收到真实数据。这种基于 IP 的选择性响应模式使投毒行为对常规监控完全不可见。
• 攻击者对未被攻破的 RPC 节点发动 DDoS 攻击，迫使 DVN 故障转移（failover）到已被投毒的节点。
• 伪造验证完成后，恶意二进制文件自毁并清除所有日志，消除取证证据。

这一点至关重要：LayerZero 运营着这个 DVN。 这不是 KelpDAO 自行部署的被动软件库。LayerZero 积极运行着验证基础设施，选择 RPC 提供商、配置故障转移逻辑、签署验证证明。当 DVN 从被投毒的 RPC 节点读取伪造的链上状态并为一笔不存在的交易签署验证时，那是 LayerZero 的基础设施在失败。

而且，这种攻击向量并不新颖。正如 Cos 所指出的：「RPC 投毒攻击是老技巧了，交易所们多年前就经历过。」[5]

根据《侵权法重述（第二版）》，行为人必须识别其所处位置的理性人应当识别的风险。[6]RPC 投毒在区块链安全社区是一个有据可查的攻击类别。一个运营 DVN 来保护数十亿美元跨链资产的合理基础设施提供商应当已经实施了对策，包括：(a) 跨多个独立提供商和地理位置分散 RPC 来源；(b) 在 RPC 节点之间实施交叉验证以检测数据不一致；(c) 监控基于 IP 的选择性响应模式；(d) 加固故障转移逻辑，避免在 DDoS 压力下回退到不受信任的节点；(e) 对 DVN 验证请求实施异常检测（例如，标记异常大额转账金额）。

此外，不可委托义务原则（non-delegable duty doctrine）也适用于本案。根据《侵权法重述（第二版）》，某些安全关键功能不能完全委托给第三方，承担该义务的一方有责任确保其充分履行。[7]当 LayerZero 自称为高价值跨链交易提供验证基础设施时，它不能通过指向 RPC 提供商作为独立承包商来逃避责任。LayerZero 选择了这些提供商，配置了故障转移逻辑，并运营了验证节点。责任归于运营者。

一个可以类比的传统法律概念是金融基础设施运营商的责任。SWIFT（环球银行金融电信协会）为全球银行间通信提供消息传递基础设施。如果 SWIFT 的消息验证系统被攻破导致虚假转账指令被执行，SWIFT 不能仅仅因为其「协议本身没有漏洞」而免责，它运营着验证基础设施，这一运营行为本身就承载着与所保护价值相称的注意义务。LayerZero 在 DeFi 生态中的角色与此高度类似：它不仅仅是一个软件许可方，它是跨链消息验证基础设施的运营者。

Drift Protocol 攻击的建设性通知（constructive notice）效应也需要考量。2026 年 4 月 1 日，Drift Protocol 遭受了 2.85 亿美元的跨链攻击，这发生在 KelpDAO 攻击仅仅 17 天之前。虽然 Drift 攻击的具体攻击向量可能与本案不同（这需要进一步验证），但它向整个跨链基础设施行业发出了明确信号：跨链桥接基础设施正在受到高级持续性威胁（APT）的积极攻击。在这一背景下，LayerZero，作为最大的跨链消息协议之一，应当已经处于高度警戒状态。未能在 Drift 攻击后加强 RPC 基础设施的安全防护，进一步支持了过失的认定。

LayerZero 最强的抗辩是国家级攻击者的复杂性。本次攻击的组合，二进制文件替换、基于 IP 的选择性欺骗、DDoS 强制故障转移、事后自毁，代表了异常的作战复杂度，可能接近 SolarWinds 供应链攻击的水平。根据《侵权法重述（第二版）》第 302B 条，高度异常的犯罪干预所带来的风险在合理预防范围之外。如果法院认定这次攻击的复杂程度超出了私营部门基础设施提供商的合理注意标准，LayerZero 的过失责任可能被大幅减轻甚至免除。

然而，反驳这一抗辩的论据同样有力：正如 Cos 所指出的，这次攻击的各个单独组成部分都是众所周知的，即使它们的组合是新颖的。RPC 投毒是已知技巧。DDoS 是已知技巧。二进制文件替换是已知技巧。一个合理的基础设施运营商应当对这些已知的单独威胁进行防御，即使它无法预见到这些威胁的精确组合方式。

（三）共同因果关系与 60/40 过错分担

这是一个典型的共同因果关系（concurrent causation）案例。KelpDAO 的 1-of-1 配置和 LayerZero 的 RPC 基础设施失败都是攻击成功的必要条件。移除任何一个，攻击就会失败：

• 如果 KelpDAO 使用了 2-of-3 的独立 DVN（配备独立的 RPC 基础设施），攻击者就需要同时攻破多条独立的验证路径，这将极大地增加攻击的成本和复杂性。
• 如果 LayerZero 的 DVN 没有被投毒的 RPC 数据欺骗，1-of-1 配置本身是可以正常工作的，不会有未经授权的消息被验证。

根据《侵权法重述（第二版）》，当两个或多个原因共同产生单一不可分割的损害时，每一个都被视为造成损害的「实质因素」（substantial factor），每个侵权者都承担责任。[8]攻击者的犯罪行为不会打断因果链，因为针对单点故障的桥接攻击恰恰是多 DVN 建议所旨在防范的可预见风险。[9]

纽约州和加利福尼亚州，任何此类诉讼最可能的管辖地，都采用纯粹比较过失制度（pure comparative fault）。[10]这意味着每个被告的责任按其过错比例减少，但不会被完全免除。

那么过错如何分配？我评估为大约 KelpDAO 60% / LayerZero 40%，基于三个理由：

• 第一，KelpDAO 做出了主动选择，在 LayerZero 明确建议使用至少 2-of-3 的情况下选择了 1-of-1。这是一个治理决定，而非 LayerZero 施加的技术限制。该协议有选择更高安全性的能力但没有这样做。这种主动选择在任何比较过失分析中都具有重要权重。
• 第二，1-of-1 配置是攻击得以实施的根本前提。没有它，攻击者将面临一个根本不同（且困难得多）的挑战。RPC 投毒攻击之所以成功，仅仅因为只有一条验证路径需要攻破。具有独立基础设施的多 DVN 配置创造了纵深防御（defense in depth），这种攻击无法击败。
• 第三，然而，LayerZero 的责任不能为零。LayerZero 运营着其基础设施被攻破的 DVN。RPC 投毒是一个已知的攻击向量。17 天前的 Drift Protocol 攻击使整个跨链行业处于高度警戒状态。而 LayerZero 自己的「协议没有被攻破」辩护，虽然在协议层面技术上是准确的，掩盖了这样一个事实：LayerZero 的运营基础设施是损失的直接工具。

40% 的分配给 LayerZero 反映了一个现实：它运营了失败的基础设施，使用了已知存在漏洞的架构，而未实施针对已有记录的攻击类别的标准对策。

服务条款能否救他们？

KelpDAO 和 LayerZero 都维护着具有极为激进的责任限制的服务条款（Terms of Service, 「ToS」）。KelpDAO 将其总责任上限设定为前十二个月支付金额或 200 美元中的较大值。[11]LayerZero 的上限为 50 美元。[12]两者都包含标准的「按现状」（AS IS）免责声明和广泛的风险自担条款。

如果这些上限条款有效，以上全部民事责任分析都将沦为纸上谈兵。200 美元的上限对 2.92 亿美元的损失，将使 KelpDAO 实质上对任何有意义的追偿具有免疫力。

这些上限条款不会被法院支持。原因如下。

（一）显失公平原则

合同法长期以来承认，某些条款是如此根本性地不公平，以至于法院将拒绝执行。显失公平原则已被《合同法重述（第二版）》（Restatement (Second) of Contracts）明确规定，允许法院撤销同时具备程序性和实质性显失公平的合同条款。[13]

程序性显失公平（procedural unconscionability）考察的是是否存在有意义的协商或拒绝条款的机会。DeFi 的服务条款是典型的格式合同（adhesion contract）：以要么接受要么走人的方式呈现，没有协商机会，通常埋在一个大多数用户从不访问的网站深处。大多数 DeFi 用户通过 MetaMask 等钱包界面直接与智能合约交互，他们从未浏览过协议的网站，更不用说阅读或同意多页的服务条款文件。

「点击同意」（clickwrap）与「浏览即同意」（browsewrap）之间的法律区别已经确立。[14]在「Specht 诉 Netscape 案」（Specht v. Netscape）[15]中，时任联邦第二巡回上诉法院法官的索托马约尔（现任美国最高法院大法官）裁定，下载按钮下方的服务条款超链接若未被醒目呈现，不足以构成用户同意。在「Nguyen 诉 Barnes & Noble 案」[16]中，第九巡回法院同样裁定，网站必须提供醒目通知和审阅条款的机会；仅仅使用网站本身是不够的。

DeFi 协议交互更接近 Specht 案的情形，而非 Meyer 诉 Uber 案[17]（在该案中，带有清晰条款超链接的醒目注册页面被裁定为有效通知）。链上智能合约交互是否构成对链下网站服务条款的同意，至今尚未被任何法院正面裁决，但现有的 browsewrap 判例法的权重强烈不利于在缺乏用户肯定性行为的情况下执行条款。

实质性显失公平（substantive unconscionability）考察的是条款是否过于片面以至于「令人震惊」（shock the conscience）。200 美元的责任上限对 2.92 亿美元的损失，比率约为 1:1,460,000，是教科书式的实质性显失公平。LayerZero 的 50 美元上限比率更为极端。在里程碑式的「Williams 诉 Walker-Thomas Furniture 案」[18]中，法院确立了当另一方没有有意义的选择时，法院不会执行「对起草方不合理有利」的条款。《合同法重述》的评注确认，「交换中的严重不对称」（gross disparity in the exchange）是显失公平的直接证据。[19]

（二）重大过失例外

即使法院认定服务条款在一般层面上可以执行，责任限制条款也不保护重大过失（gross negligence）或故意不当行为（willful misconduct）。这在纽约州和特拉华州法律中都是已确立的原则。

《合同法重述（第二版）》规定，免除一方因鲁莽（reckless）或故意行为造成的侵权责任的条款，因违反公共政策而不可执行。[20]纽约州最高法院（Court of Appeals）已反复确认，免责条款不涵盖重大过失，适用「漠视已知风险」（reckless disregard）标准。[21]

KelpDAO 的 1-of-1 DVN 配置是否构成重大过失？论据有力。重大过失要求对已知的重大风险有鲁莽的漠视，超越了单纯的注意义务不足。KelpDAO 为一座保护超过 10 亿美元资产的桥选择了最低安全配置，违背了基础设施提供商的明确建议。单点故障被攻破的风险有充分记录。1-of-1（零容错）和 2-of-3（33% 容错）之间的差距不是边际风险差异，而是本质性的差异。

如果法院将 1-of-1 的选择定性为鲁莽而非仅仅是过失，那么无论显失公平分析的结果如何，200 美元的上限条款都将无效。

重大过失例外之所以重要，是因为它绕过了服务条款有效性的门槛争议。即使法院认定用户确实同意了服务条款（例如通过 clickwrap 机制），即使法院认定 $200 的上限在一般商业语境下并不构成显失公平（例如对机构级用户），重大过失例外仍然独立适用。它是一项公共政策原则（public policy doctrine），不受当事人合意的约束。在纽约法下，这一原则已被反复确认，[21]构成了对服务条款最稳健的第二道攻击线。

（三）证券法的否决权

还有第三条使服务条款上限无效的路径，而且是最强有力的。

如果 rsETH 被归类为联邦法律下的证券（security），那么责任上限条款和仲裁条款都将因法定原因（by operation of law）而无效。《证券法》（Securities Act）规定，「约束任何人放弃遵守本法任何条款的任何条件、规定或约定」均为无效。[22]《证券交易法》（Exchange Act）包含同样的反弃权条款。[23]这些条款不能通过合同规避。它们优先于《联邦仲裁法》（Federal Arbitration Act）。它们不受州显失公平分析的约束。它们是联邦法律的强制性命令。

rsETH 是否符合证券的定义？根据 Howey 测试[24]中确立的基础性检验标准，投资合同（investment contract）在以下条件下成立：(1) 金钱投资，(2) 投入共同事业，(3) 期望获利，(4) 利润来自他人的努力。

rsETH 满足每一个要件。用户存入 ETH（金钱投资）到 EigenLayer 上的集合再质押策略（共同事业）。rsETH 通过再质押奖励产生收益（期望获利）。而再质押策略、运营商选择和桥接基础设施完全由 KelpDAO 团队管理，个人持有者没有任何控制权（他人的努力）。

复杂之处在于 Ripple 案的分裂裁决（split holding）。[25]2023 年，纽约南区联邦地区法院区分了直接机构销售（属于证券）和在公开市场上的程序化二级市场销售（不属于证券）。大多数 rsETH 交易发生在二级市场，DEX 兑换、Aave 存入，而非通过从 KelpDAO 直接购买。在 Ripple 框架下，二级市场购买者可能无法满足「他人的努力」这一要件。但 Ripple 只是一个地区法院判决，目前正在上诉至第二巡回法院，其对流动性质押代币（liquid staking token）的适用性尚未经过检验。

如果证券分类成功，将彻底改变整个追偿格局。服务条款上限消失。仲裁条款消失。 直接购买者获得私人撤销权（rescission rights）。[26]所有依赖 KelpDAO 关于桥接安全性声明的购买者都可以提起欺诈索赔（fraud claims）。[27]

这里需要特别解释这一法律工具的威力所在：在美国法下，仲裁条款和集体诉讼弃权条款（class action waiver）通常受到强有力的保护。联邦最高法院在「AT&T 诉 Concepcion 案」[28]和「Epic Systems 诉 Lewis 案」[29]中确立了《联邦仲裁法》优先于州法对仲裁协议中集体诉讼弃权条款的否定。在「American Express 诉 Italian Colors 餐厅案」[30]中，最高法院进一步限缩了「有效救济原则」（effective vindication doctrine），裁定仅当仲裁条款阻止法定权利的主张时才可被推翻，而高昂的诉讼成本本身不足以构成推翻理由。

这意味着，如果 LayerZero 的仲裁条款成立，它将迫使受害者进行个人仲裁，而每个人的索赔上限为 50 美元，这在功能上等同于完全的责任屏障。没有理性的原告会为 50 美元的赔偿启动个人仲裁程序。

然而，证券法的反弃权条款（anti-waiver provisions）为绕过这一障碍提供了途径。如果 rsETH 是证券，联邦法律直接否决仲裁条款和集体诉讼弃权条款，不需要援引显失公平原则，不需要对抗《联邦仲裁法》的优先效力。这就是为什么证券分类是整个分析中最关键的「核武器」。

RPC 提供商：辅助角色

那些基础设施被投毒的 RPC 节点提供商在这条责任链中处于一个特殊位置。他们提供了 DVN 所依赖的虚假数据。但他们的责任受到几个因素的限制。

根据《侵权法重述（第二版）》，在商业过程中提供信息的供应商若未能行使合理注意义务，应对因合理信赖而造成的经济损失承担责任，但仅限于供应商意图触达或知道接收方意图触达的可预见的「有限群体」（limited group）。[31]在纽约州，「Credit Alliance 诉 Arthur Andersen 案」[32]进一步以三要件检验限制了信息供应商对第三方的责任。

适用于本案，RPC 提供商的责任可能仅及于 LayerZero（直接选择并依赖它们），而不延伸至下游的 KelpDAO 用户或 rsETH 持有者。这意味着 RPC 提供商的责任主要是 LayerZero 的分担追偿请求（contribution claim），一种 LayerZero 将其 40% 过错份额向下游转移的机制，而非受害者的直接追偿途径。

还有一个实际障碍：RPC 提供商的身份尚未公开披露。他们本身可能是国家级网络攻击的受害者，攻击的复杂程度（二进制文件替换、基于 IP 的选择性欺骗、DDoS、自毁二进制文件）暗示了超越普通网络犯罪分子的作战能力。如果提供商本身是国家级攻击的受害者，其过失就很难成立，注意标准并不要求普通商业实体防御军事级别的入侵。

最可能的结果：RPC 提供商的责任留在幕后，在 KelpDAO 和 LayerZero 之间的分担追偿程序中可能相关，但不是受害者的主要追偿路径。

Aave 的 93% 贷款价值比：一个治理信义义务（Fiduciary Duty）问题

攻击从 KelpDAO 的桥中盗取了 2.92 亿美元。但传染效应，1.77 至 2 亿美元的坏账、60 亿美元的 TVL 下降、存款人的本金损失，这些是被 Aave 的治理决策所放大的。

（一）激进的参数设置

2026 年 1 月，Aave 治理通过了第 434 号提案（Proposal 434），将 rsETH 的电子模式贷款价值比（e-mode LTV, Loan-to-Value）从 92.5% 提高到 93%。这意味着每 100 美元的 rsETH 抵押品，用户可以借入 93 美元的 ETH。

对比 Aave 的竞争对手：SparkLend 将 rsETH 的 LTV 设定为 72%。Fluid 设定为约 75%。两者之间的差距不是微小的，21 个百分点的差异反映了根本不同的风险理念。

在 93% 的 LTV 下，安全边际仅为 7%。抵押品价值任何超过 7% 的下跌都会产生坏账，而这些坏账由 Aave 的存款人（而非借款人）承担。对于一种价值取决于具有单点故障的跨链桥的抵押资产而言，7% 的安全边际客观上是不充分的。

（二）法律框架：DAO 作为普通合伙企业

DAO 治理责任的法律格局在过去两年发生了巨大变化。

在「Samuels 诉 Lido DAO 案」[33]中，加利福尼亚州联邦法院于 2024 年裁定，Lido DAO 在加州法律下有合理理由被认定为普通合伙企业（general partnership）。参与治理的代币持有者可能被视为普通合伙人，对合伙义务承担个人责任。在「Sarcuni 诉 bZx DAO 案」[34]中，另一家加州联邦法院得出类似结论，裁定参与治理的 DAO 代币持有者承担连带责任（jointly and severally liable）。

根据加利福尼亚州《修订统一合伙法》（RUPA），合伙人彼此负有注意义务和忠实义务（fiduciary duties of care and loyalty），[35]并对所有合伙义务承担连带责任。[36]

（三）Caremark 监督义务

特拉华州的信义义务框架，类比适用于 DAO 治理，提供了最相关的注意标准。在具有里程碑意义的「Caremark 案」[37]中，法院确立了受信人有积极义务建立和监控合规与风险管理系统。「Stone 诉 Ritter 案」[38]确认，Caremark 监督责任要求证明受信人要么 (1) 完全未能建立监控系统，要么 (2) 已建立此类系统但有意识地未能关注其输出结果，有意识的漠视构成恶意（bad faith）。

Aave 的情况属于第二种情形。Aave 并非缺少风险管理系统，它聘用了 Chaos Labs 长达三年。但在 2026 年 4 月 6 日，Chaos Labs 公开离开，其创始人称「在风险策略上存在根本分歧」。[39]十二天后，攻击发生。

这一巧合在证据上极为有力：Aave 的风险管理者因策略分歧而离开，在两周之内，激进 LTV 参数所放大的那种精确风险类别，抵押品价值崩溃，就以灾难性规模实现了。根据「Van Gorkom 案」，[40]当董事在「没有充分信息」的情况下批准重大决策时，商业判断规则（business judgment rule）将被推翻。如果 Aave 治理在批准 93% 的 LTV 时没有对 rsETH 的桥接安全性进行任何评估，特别是不知道 rsETH 的桥依赖于零容错的 1-of-1 DVN，这正是 Van Gorkom 所针对的不知情决策。

（四）实际局限性

针对 Aave 治理的信义义务理论在法律上有力但在实践上受到限制。匿名治理投票者是无法追偿的，你无法向匿名钱包地址催收赔偿金。Lido DAO 判例本身仍在积极诉讼中（处分性动议定于 2026 年 11 月审理），且可能被推翻。

但并非所有治理参与者都是匿名的。主要机构委托人（institutional delegates），风险基金、协议金库、专业治理服务机构，如果它们投票支持了第 434 号提案，则是可识别的，并在 Lido/bZx 合伙框架下承担个人责任。对这些可识别的委托人，该理论是可以付诸实施的。

这里需要解释一下 Caremark 义务为何如此关键。在传统公司法中，Caremark 义务代表着一种最低限度的监督责任，董事不需要事无巨细地管理公司运营，但必须确保存在合理的信息报告和合规监控系统。当董事要么 (1) 完全未能建立此类系统，要么 (2) 已经建立了系统但有意识地忽视其警告信号时，他们即违反了 Caremark 义务。

在 Aave 的语境中，这一义务有着非常具体的含义：Aave 治理在接受 rsETH 作为抵押品时，是否审查了 rsETH 底层桥接的安全架构？具体而言，是否有任何治理参与者、风险委员会成员或委托人知道 rsETH 的桥依赖于 1-of-1 DVN 配置，即零容错？如果答案是否定的（这在当前 DeFi 治理的松散实践中非常可能），那么 Aave 治理就在未充分了解风险的情况下为价值数十亿美元的抵押品设定了仅 7% 安全边际的参数。这正是 Van Gorkom 案所针对的「不知情决策」（uninformed decision-making）。

更进一步：Chaos Labs 的离开不仅仅是一个巧合。Chaos Labs 作为 Aave 的风险管理服务商已经服务了三年，对 Aave 的风险框架了如指掌。当其创始人公开声称存在「在风险策略上的根本分歧」时，这构成了一个显著的警告信号。一个审慎的治理体系应当在风险管理服务商因策略分歧而离开后立即进行风险参数审查，或至少暂停新的高风险抵押品上架，尤其是在 Drift Protocol 攻击刚刚发生的背景下。Aave 治理没有采取任何此类行动。

Aave 治理问题的更深远意义是系统性的。如果 DeFi 治理投票者可以因放大攻击损失的风险参数决策而承担个人责任，这将从根本上改变治理参与者对待抵押品上架和 LTV 参数的方式。93% 的 LTV 用于单点故障桥接资产，可能成为治理过失的经典案例，DeFi 版的 Caremark 红旗。

一个值得关注的时间节点：Samuels 诉 Lido DAO 案的处分性动议（dispositive motions）定于 2026 年 11 月审理。如果加州联邦法院确认 Lido DAO 构成普通合伙企业且治理代币持有者承担个人责任，这将为针对 Aave 治理参与者的类似诉讼扫清法律障碍。反之，如果 Lido 判例被推翻，本文所讨论的整个 DAO 治理责任理论框架将受到重大冲击。

追偿层级：理论遇到实践

法律责任是一个问题。实际追偿是另一个问题。法律上最有说服力的被告（KelpDAO，60% 过错）可能是最难追偿的（离岸 DAO，未知的实体结构）。实践上最容易接触到的被告（LayerZero Labs Canada Inc.，40% 过错）是一家真实的公司，拥有可识别的董事和超过 1.2 亿美元的风险投资。

这创造了一个追偿层级，其中实际考量优先于纯粹的责任分配：

• 优先级 1：LayerZero Labs Canada Inc. 一家真实的加拿大联邦公司（公司编号 13558479，温哥华），[41]拥有两名董事和充足资金。它是最可行的公司诉讼目标。主要优势：可识别实体，受加拿大公司法管辖，资产可被扣押。主要障碍：比较过失减免（40% × $2.92 亿 = 最大约 1.17 亿美元的敞口）、潜在的仲裁条款、加拿大商业判断规则保护。
• 优先级 2：审计与安全公司。 KelpDAO 和 LayerZero 几乎可以确定聘请了安全审计公司来审查桥接合约。根据《侵权法重述（第二版）》，为商业指导提供信息的专业人士，若因过失性不实陈述（negligent misrepresentation）造成损失，应承担责任。[42]如果任何审计师审查了桥接部署但未能将 1-of-1 DVN 配置标记为重大风险，专业过失诉讼是可行的。审计公司是拥有专业责任保险（errors and omissions insurance）的真实实体，使它们成为最具实际意义的追偿目标之一。关键门槛问题：DVN 配置是否在审计范围内？ 获取并审查审计委托书（engagement letter）是评估这一索赔的首要步骤。
• 优先级 3：KelpDAO 创始人。 Amitej Gajjala 和 Dheeraj Borra 是可识别的个人，共同创立了 KelpDAO。在 Lido/bZx 合伙框架和加州公司法典§16306 下，他们作为普通合伙人面临个人责任。如果他们的个人资产在海外或以加密货币形式持有，追偿挑战仍然存在。
• 优先级 4：Aave 治理委托人。 投票支持第 434 号提案（93% LTV）的可识别机构委托人。新颖理论，法律不确定性高，但事实基础有力。六、结论：共担责任的架构

结论：共担责任的框架

KelpDAO 攻击事件不是一个只有单一反派的故事。它是一个关于可组合系统（composable system）中层层失败的故事，每个参与者，KelpDAO、LayerZero、Aave 治理和未具名的 RPC 提供商，各自做出了单独看来似乎合理但集体上创造了灾难性脆弱性的决策。

KelpDAO 选择了速度和简单性而非安全性。LayerZero 运营验证基础设施却未加固以防范已知攻击向量。Aave 治理设定了激进的风险参数却未评估抵押品的底层桥接安全性。而在基础设施堆栈的某处，RPC 提供商未能检测或防止其核心二进制文件被替换。

60/40 的过错分担反映了这样一个判断：KelpDAO 的主动选择，在明确建议之下为十亿美元级的桥选择 1-of-1，是更应受谴责的行为。但 LayerZero 的 40% 份额承认，运营 DVN 基础设施承载着独立的注意义务，这一义务不能通过免责声明加以否定，特别是当攻击向量属于已知的、有据可查的漏洞类别时。

两个协议所依赖的服务条款，对 2.92 亿美元损失设定 200 美元和 50 美元的责任上限，是在事故发生后才被注意到的限速标志。它们被起草用来限制风险敞口，但显失公平原则、重大过失例外，以及联邦证券法的反弃权条款都提供了使其无效的途径。最有力的路径，根据 Howey Test 将 rsETH 归类为证券，不仅会使上限条款无效，还会开启绕过仲裁障碍的私人撤销权和欺诈索赔。

对于更广泛的 DeFi 生态系统，这次攻击确立了几个将在未来数年塑造协议设计和治理的先例：

• 第一，对于保护重大价值的任何协议而言，单点故障的桥接配置在本质上是不合理的。多 DVN 配置的成本相对于风险而言微不足道。在本次攻击之后，任何继续运营 1-of-1 DVN 配置的协议都是在明知后果的情况下这样做的。
• 第二，基础设施提供商不能通过免责声明逃避运营失败的责任。LayerZero 的立场，「协议没有被攻破，配置是 Kelp 的选择」，在技术上是准确的，在法律上是不充分的。当你运营验证节点、选择 RPC 提供商并签署证明时，注意义务跟随运营而不是协议规范。
• 第三，DeFi 治理不是责任屏障。正在兴起的 Lido/bZx/Ooki 判例线正在瓦解 DAO 治理提供匿名性和保护的假设。治理投票者，特别是可识别的机构委托人，对风险参数决策面临真实的个人责任。将一次 2.92 亿美元的桥接攻击转变为 2 亿美元坏账危机的 93% LTV，恰恰是 Caremark 的监督义务所旨在捕捉的治理失败类型。现在的问题是，法律体系能否以一种既补偿受害者又创造更好安全架构激励的方式分配责任。答案取决于哪些追偿路径被推进、资产能否被迅速追踪，以及法院是否愿意将传统责任框架延伸到去中心化金融的新型架构上。

对协议开发者的启示： 在你的下一次桥接部署中，问自己一个简单的问题：如果这座桥被攻破，我能在法庭上解释我选择了最低安全配置的原因吗？如果答案是「因为成本更低」或「因为更方便」，你可能已经站在了 60% 过错的一方。在 Carroll Towing 的天平上，当预防成本微不足道而潜在损失以亿计时，任何偏离行业推荐实践的选择都将成为原告律师手中最有力的证据。

对治理参与者的启示： 匿名投票不再等于匿名免责。如果你是一家知名基金的委托人，在没有审查底层风险的情况下投票支持激进的 LTV 参数，Caremark 义务可能穿透 DAO 的治理外壳直接触及你个人。Lido DAO 判例，无论其最终结果如何，已经不可逆转地改变了 DeFi 治理的法律景观。

对基础设施提供商的启示： 「我们的协议没有漏洞」不是免责声明。当你运营验证基础设施时，你的责任随着你的运营行为而产生，而非随着你的代码架构而消解。LayerZero 案将成为检验这一原则的试金石。

法律正在追赶。不适应的协议将发现自己站在 60/40 过错分担的错误一边。