2026年4月18日,KelpDAO 基於 LayerZero 的 rsETH 跨鏈橋遭受攻擊,攻擊者於約46分鐘內竊取了116,500 枚 rsETH,損失約2.92億美元,成為2026年至今最大單筆 DeFi 安全事件。本次攻擊的本質並非傳統智能合約程式碼漏洞,而是跨鏈信任模型的系統性失效。KelpDAO 採用了 LayerZero OFT 橋接方案,其安全性依賴於 DVN 去中心化驗證網路。然而,KelpDAO 配置為 1/1 DVN 單一驗證節點架構——僅需一個節點簽名即可確認跨鏈訊息為「真實」,而 LayerZero 官方文件預設推薦 2/2 多簽配置。攻擊者透過社交工程手法入侵該單一節點,偽造跨鏈訊息實現「憑空鑄幣」,將無實際資產支持的 rsETH 於以太坊主網釋放。
LayerZero 於事後調查中初步將攻擊歸因於北韓 Lazarus Group 的 TraderTraitor 分支,指出攻擊者透過污染 DVN 下游 RPC 節點並配合 DDoS 攻擊誘導故障轉移,使驗證節點在確認「交易未發生」後,進行偽造訊息。此技術路徑揭示了一個更深層的結構問題:當跨鏈橋的安全完全依賴單一驗證節點時,該節點即成為整個系統的阿基里斯腱。
被盜 rsETH 如何傳導至 Aave 形成鉅額壞帳
攻擊者將憑空鑄造的 rsETH 作為抵押品存入 Aave 等借貸平台並借出真實資產。由於這些 rsETH 缺乏合法資產背書,以此借款等同於為貸方製造潛在壞帳風險。鏈上分析顯示,Aave 各 L2 上以預言機現價計算約有3.59億美元 rsETH 作為抵押品。若這些倉位以最高槓桿水準運作,理論壞帳規模可達約3.41億美元,且完全無法獲得 Umbrella 協議覆蓋。
這並非 Aave 智能合約的程式碼缺陷,而是「錯誤信任抵押資產」引發的系統性連鎖反應。攻擊者將無資產背書的代幣注入借貸池後,所有依賴該池資金的用戶都暴露於潛在的償付風險之中。DeFi 的可組合性在此成為雙面刃:它賦予協議間無縫接軌的資本效率,同時也意味著單一環節的信任崩潰能瞬間傳導至整個生態。
資金恐慌如何觸發 140 億美元 TVL 驟降
恐慌迅速轉化為大規模撤資。根據 DefiLlama 數據,過去48小時內 DeFi 總 TVL 從994.97億美元驟降至862.86億美元,蒸發約132億美元;Aave 遭用戶撤資高達84.5億美元,TVL 下滑至179.47億美元。截至4月20日,DeFi TVL 進一步回落至約824億美元,較2026年初約1,100億美元的水準下跌約25%。
撤資潮集中於借貸、流動性再質押及收益型協議,Euler、Sentora 等平台的 TVL 均出現雙位數百分比流失。然而有趣的是,代幣價格反應相對溫和:AAVE 過去24小時僅下跌約2.5%,UNI 與 LINK 跌幅不足1%。這種資金面與價格面的背離說明,當前市場尚未對此事件的長期影響充分定價——撤資反映的是流動性恐慌,而代幣持有者可能仍在等待壞帳處置方案的明確落地。
Arbitrum 安全委員會凍結 7,100 萬美元釋放了什麼訊號
2026年4月21日,Arbitrum 安全委員會採取緊急行動,將攻擊者持有的30,766枚 ETH 轉移至治理控制的中介錢包並凍結,價值約7,100萬美元,追回約占被盜總額的四分之一。該行動透過 ArbitrumUnsignedTxType 系統級交易執行,這是一種無法由一般 EOA 簽署、僅能由安全委員會透過 ArbOS 注入的技術方案。
此次干預釋放了兩個重要訊號。其一,L2 治理層的緊急干預能力在實踐中獲得驗證,這在 Layer 2 擴容路線圖中具有里程碑意義。其二,這類對用戶資金的治理層干預在鏈上生態中極為罕見且具爭議性,因為它們在一個原本無需許可的網路中引入了裁量性控制。Arbitrum 強調本次行動係基於執法機關對攻擊者身分的確認資訊,且未影響其他一般用戶或應用。然而這一先例也引發了一個更深層的追問:當「無需許可」遭遇「國家級攻擊者」時,去中心化網路的治理邊界應如何劃定?
非隔離借貸模式的隱憂為何被 Curve 創辦人公開警示
Curve Finance 創辦人 Michael Egorov 於事件發生後公開發文指出,KelpDAO 遭襲造成的壞帳問題凸顯現行「非隔離借貸」模式的潛在風險。他表示該模式雖具高擴展性,但風險水準較高,需配合更嚴格的資產管理框架。Egorov 進一步強調,近期大量本可避免的安全事件多數源於中心化單點故障,問題應事先預防而非事後補救,並呼籲以太坊基金會與 Solana 基金會等生態機構牽頭建立統一的 DeFi 安全標準。
Egorov 特別指出,全隔離或混合借貸模式可作為替代方案,並認為 Aave v4 擬推出的「hub and spoke」架構有望推動借貸模型朝更高安全性方向發展。這一判斷精準切中 DeFi 長期存在的核心矛盾:資本效率與風險隔離之間的取捨。非隔離模式讓資金於協議間自由流動,提升整體效率,但也使單一資產的信任危機能迅速蔓延至整個借貸網路。Egorov 的批評本質上是在追問:DeFi 是否已到必須犧牲部分效率以換取系統穩定性的臨界點?
Aave 壞帳處置的三種路徑及其結構性代價
DeFiLlama 創辦人 0xngmi 梳理了 KelpDAO 可能採取的三條處置路線,每條路徑都伴隨明確的代價權衡。
方案一為損失社會化,將所有 rsETH 持有人餘額按比例統一下調18.5%以吸收損失。Aave 全網的 rsETH 抵押品若按此方案處理,估算產生約2.16億美元壞帳,其中 Umbrella 協議覆蓋5,500萬美元、Aave 金庫承擔8,500萬美元,仍有約7,600萬美元缺口。此方案的邏輯在於將損失分散給所有用戶,代價是動搖用戶對協議資產安全性的根本信任。
方案二僅保障以太坊主網的 rsETH,將 L2 上的 rsETH 直接視為無價值。Aave 各 L2 上的 rsETH 抵押品按現價計算約3.59億美元,若以最大槓桿水準滿倉運作,壞帳可能達約3.41億美元,且不在 Umbrella 覆蓋範圍內。Aave 屆時僅能依靠金庫或借貸嘗試挽救部分市場,並可能放棄受創最重的鏈——Arbitrum、Mantle 及 Base,導致相關市場崩潰。此方案可減輕對 Aave 主網的直接衝擊,代價是重挫 L2 生態的整體聲譽。
方案三依攻擊前快照恢復資產分配,僅向事發時持有 rsETH 的地址全額退款,後續買入或轉手者自行承擔損失。該方案於 Umbrella 覆蓋後仍餘約9,100萬美元損失,但問題在於攻擊後資金流動頻繁,DeFi 協議本質為流動性池,技術上幾乎無法將不同批次的存入資金清楚區分,落地難度極高。
2026 年 4 月為何成為 DeFi 安全分水嶺
KelpDAO 事件並非孤立的安全事故。2026年4月僅20天內,加密協議因駭客攻擊損失已超過6.06億美元,成為自2025年2月以來最嚴峻的單月損失紀錄。4月1日,Solana 上最大的永續合約交易所 Drift Protocol 於12分鐘內被盜2.85億美元,KelpDAO 與 Drift 兩起事件合計占當月損失約95%。
慢霧2025年度安全報告數據提供了更長週期的參照:2025年全年共發生200起安全事件,造成損失約29.35億美元,雖然事件數量較2024年下降51%,但損失金額同比上升約46%。DeFi 項目是最常遭攻擊的賽道,全年126起事件占比約63%,損失約6.49億美元。
將這些數據串聯起來,一個清晰趨勢浮現:攻擊者的目標正從「數量」轉向「質量」——更少的事故、更大的單筆損失、更複雜的攻擊手法。KelpDAO 事件中,攻擊者利用的不是程式碼漏洞,而是配置層面的信任假設失誤,這種攻擊維度的升級意味傳統安全稽核的覆蓋範圍已不足以應對當前威脅格局。
總結
KelpDAO 跨鏈漏洞事件是2026年 DeFi 安全領域最具標誌性的衝擊事件。它揭示了跨鏈信任模型中單點驗證架構的根本脆弱性,展現資產危機如何於 DeFi 可組合生態中迅速傳導,並透過 Aave 的壞帳敞口將風險壓力轉移至整個借貸市場。Arbitrum 安全委員會的緊急干預為追回被盜資金提供有限路徑,卻也引發關於去中心化治理邊界的深層討論。
Egorov 對非隔離借貸模式的警示及對產業安全標準的呼籲,反映出 DeFi 正處於結構性反思時刻。資本效率與系統安全間的張力未曾如此尖銳——過去數年支撐 DeFi 高速成長的「可組合樂高」邏輯,正經受信任崩潰後的壓力測試。2026年4月的高頻安全事故已構成明確訊號:DeFi 若無法於協議層建立系統性風險隔離機制,每一次「本可避免」的漏洞都將持續侵蝕產業長期發展的信任根基。
常見問題(FAQ)
問:KelpDAO 攻擊的直接損失金額是多少?
攻擊者竊取了116,500枚 rsETH,按當時市場價格計算損失約為2.92億美元。Arbitrum 安全委員會已凍結約7,100萬美元的被盜資產,約占總額的四分之一。
問:Aave 目前面臨的最大壞帳風險有多大?
根據不同壞帳處置方案,Aave 面臨的壞帳規模在1.237億美元至3.41億美元之間。若採用損失僅限 L2 的方案,壞帳可達約3.41億美元,且不在 Umbrella 覆蓋範圍內。
問:此次攻擊與其他 DeFi 安全事件有何不同?
攻擊根源並非智能合約程式碼漏洞,而是跨鏈橋的配置層面問題——KelpDAO 採用了1/1單節點 DVN 驗證配置,使單一驗證節點被攻破即導致整個跨鏈系統的信任崩潰。
問:Curve 創辦人 Egorov 提出了哪些具體建議?
Egorov 呼籲建立統一的 DeFi 安全標準,建議降低系統中的單點故障數量,在必須使用集中式解決方案時設計能分散信任的機制,並倡導由以太坊基金會與 Solana 基金會等生態機構牽頭制定安全設計原則與驗證標準。
問:DeFi TVL 縮水的主要驅動力是什麼?
驅動力來自雙重因素:其一為協議因風險控管主動凍結受影響市場,其二為恐慌用戶的大規模主動撤資。兩者疊加導致借貸、再質押及收益型協議出現雙位數百分比的資金流失,整體 TVL 從年初約1,100億美元降至約824億美元。
問:此次事件對 DeFi 產業的長期影響為何?
事件暴露出非隔離借貸模式與跨鏈信任架構的結構性缺陷,可能推動產業從追求極致資本效率轉向重視系統性風險隔離。Egorov 提及的 Aave v4「hub and spoke」架構以及產業統一安全標準的討論,有望成為後續發展的關鍵觀察點。
