币界网报道：

• 2026年4月19日
• |
• 08:04

2026 年 4 月 18 日，KelpDAO 遭遇了现已确认为当年最大的去中心化金融漏洞攻击——对其 LayerZero 支持的跨链桥的定向攻击，导致约 116,500 个 rsETH 被盗，在事件发生时价值约 2.92 亿至 2.93 亿美元。

攻击者最初的资金来源追溯到龙卷风现金，并识别和利用了rsETH铸造逻辑中的一个关键缺陷。该缺陷并非提供实际抵押品，而是……钱包

钱包攻击者无需任何资金支持即可铸造rsETH代币——相当于凭空印钞。被盗的代币随后被存入Aave V3和V4，并被用作抵押品借入大量WETH。在Kelp的紧急“pauseAll”功能被触发时——距离首次成功盗币已过去46分钟——该协议的大部分资金已经损失殆尽。同一攻击者随后两次试图盗取另外1亿美元的尝试均被该暂停机制阻止，但首次交易造成的损失已在整个生态系统中蔓延开来。

Aave及其更广泛市场受到的影响

Aave 对无担保抵押品的风险敞口导致该借贷协议背负了约 1.77 亿至 1.96 亿美元的坏账——这一数字足以引发对其“伞形安全模块”的讨论。该模块持有约 5000 万美元，预计将用于部分弥补亏损。Aave 上的 WETH 供应商已被告知，他们的存款可能会被减记，这意味着损失将无法完全由协议的资金承担。AAVE代币消息公布后的几个小时内，rsETH 本身下跌了 14%。由于持有者争相在价格进一步下跌前平仓，rsETH 的交易量飙升超过 10 万倍。

其他借贷平台迅速做出反应。SparkLend、Fluid 和 Upshift 都在数小时内冻结了 rsETH 市场，以防止不良债务进一步累积。链上

链上调查员 ZachXBT 发现了与这起盗窃案有关的六个钱包地址，目前正在监控这些地址是否有资金流动。

为什么轻轨作为抵押品会带来严重风险

此次事件再次引发了关于流动性再质押代币（LRT）作为货币市场抵押品时风险状况的讨论。rsETH 与类似的 LRT 资产一样，具有多层复杂性——它代表着对多个验证者集和协议中再质押的 ETH 的索取权，这使得其在压力下的实时估值更难验证。当这种复杂性与桥接合约中的铸币缺陷相遇时，其结果正是 4 月 18 日发生的情况：一个漏洞引发的连锁反应导致多个平台上的坏账。

DeFi 安全领域遭遇残酷的一年

这次攻击并非孤立发生。截至2026年4月中旬，整个DeFi领域的累计损失已达4.5亿至4.82亿美元，涉及约44至45个协议。KelpDAO事件是其中规模最大的单次事件，但在此之前，DeFi领域已发生一系列重大安全漏洞，这些漏洞几乎从1月份就开始了。

这Drift Protocol 于 4 月 1 日遭到黑客攻击 索拉纳永续年成本期货

期货交易损失高达 2.85 亿美元。在该案例中，攻击者利用社会工程学手段操纵安理会成员，让他们使用 Solana 的持久随机数功能预先签署交易，从而获得管理员权限，并在 12 分钟内提取了包括 USDC 和 SOL 在内的真实资产。今年 3 月，Resolv Labs 损失了 8000 万美元。一名攻击者存入约 20 万美元，并利用 completeSwap() 函数中的一个漏洞，铸造了价值 8000 万美元的无担保 USR 稳定币——此举导致该代币的锚定值下跌了 74%。Step Finance 在 2 月初也损失了 2730 万至 4000 万美元。私钥 私钥此次漏洞利用使攻击者能够取消质押并提取约 261,854 个 SOL 代币，随后 Truebit 团队宣布关闭核心平台。今年 1 月，Truebit 因整数溢出漏洞损失 2620 万美元，该漏洞允许攻击者操纵 TRU 代币的铸造和销毁。

基础设施成为新目标

这些事件共同表明，DeFi 遭受攻击的方式正在发生结构性转变。纯粹利用智能合约代码漏洞不再是主要攻击手段。基础设施层面的攻击——例如私钥窃取、社会工程学攻击和前端系统被攻破——正在成为攻击的主要途径。约占2026年初损失的76%Axios供应链攻击事件表明，这些威胁已经扩散到链上环境之外很远的地方。攻击者发布了恶意版本的常用npm包，其中隐藏着恶意软件，用于系统侦察。人工智能辅助网络钓鱼

“>网络钓鱼所谓的生猪屠宰骗局也急剧增加，一些估计表明，与 2025 年同期相比，人工智能支持的欺诈性外展活动将增加 500%。

具体到 KelpDAO 而言，未来的发展取决于该协议能否为受影响的 rsETH 持有者制定可信的恢复计划，以及 Aave 如何安排其坏账的吸收。这两个问题目前都还没有明确的答案。

---