2026年4月19–20日 | 链上已确认

╔══════════════════════════════════════════════════════════╗
║ 💀 资金被抽走 → 2.92–2.93亿美元 ║
║ 🔗 协议遭击中 → Kelp DAO — LayerZero桥 ║
║ 📉 rsETH供应触及 → 流通供应量的18% ║
║ ⏱️ 抽走所需时间 → 46分钟 ║
║ 🌐 受影响链 → 20+个网络 ║
║ 🏦 AAVE TVL损失 → 24小时内损失66亿美元 ║
╚══════════════════════════════════════════════════════════╝

◈ 01 — 事件总结：到底发生了什么
2026年4月18日（周六）约17:35 UTC，历史上最复杂、破坏性最大的DeFi漏洞攻击之一被执行在Kelp DAO身上——这是一个构建在以太坊之上的流动性重质押协议。此事件现已被确认是2026年迄今为止最大的DeFi黑客事件。
Kelp DAO是什么？

Kelp DAO是一个流动性重质押协议：它接收用户存入的ETH，通过EigenLayer进行路由以赚取额外的重质押收益，并向用户发行rsETH作为可交易的凭证。持有rsETH、并将该代币跨越20多个区块链网络的用户，其凭证由Kelp跨链桥中持有的储备金支撑。

LayerZero是什么？
LayerZero是一个跨链消息基础设施层——其技术使不同区块链能够相互发送经过验证的指令。Kelp将LayerZero用作其桥的主干。
攻击步骤如下：

⚡ 第1步 → 攻击者伪造了一个假的跨链消息
并欺骗LayerZero的验证系统
让它看起来像来自
另一个网络的有效指令

⚡ 第2步 → Kelp的桥接受了伪造的消息
向攻击者钱包释放了116,500 rsETH
攻击时的价值：~$292 百万

⚡ 第3步 → Kelp紧急暂停器多签被激活
核心合约在UTC 18:21被冻结
从最初抽走开始46分钟后

⚡ 第4步 → 在UTC 18:26和18:28进行了两次后续尝试
每次都试图抽走额外40,000 rsETH
(~$100M 每次尝试) — 两次均已回滚

⚡ 第5步 → 攻击者将被盗的rsETH存入Aave V3
使用被盗代币作为抵押品
用被盗代币借出针对它的包裹ETH (WETH)
单是Aave上的坏账头寸：~$196 百万

这并不是一次“穷举式”的暴力攻击。相反，这是对跨链消息基础设施的验证逻辑进行的精准利用——证明桥仍然是整个DeFi生态系统中最脆弱的环节。

◈ 02 — 资金流向与损失规模

┌─────────────────────────────────────────────────────────┐
│ 损失明细 │
├─────────────────────────────────────────────────────────┤
│ rsETH被抽走 → 116,500 rsETH │
│ 美元价值 → 2.92–2.93亿美元 │
│ 流通供应占比→ 18%被抹去 │
│ AAVE V3上的坏账 → ~$196 百万 │
│ AAVE TVL损失 → 26.4B → 19.8B (−6.6B) │
│ 协议被冻结 → 9个主要DeFi平台 │
│ 受影响链 → 20+个L2与EVM网络 │
│ ZRO代币损失 → $750K 鲸鱼损失(−22%) │
│ rsETH价格下跌 → −23% (脱钩事件) │
└─────────────────────────────────────────────────────────┘

最危险的连锁反应：桥持有的rsETH储备为跨越20多个不同区块链网络部署的该代币的包裹版本提供支撑。随着这份储备被抽走，每一个在每条Layer 2网络上持有rsETH的用户都突然面临一个关键问题——我的代币下面到底有什么？这种不确定性触发了对所有链的恐慌性赎回，同时在每条链上制造了反馈循环：强制赎回的压力会挤压剩余的以太坊供应，并且可能迫使Kelp解除重质押仓位以履行提款。
传染链条中被冻结的协议名单：

🔴 AAVE V3 & V4 → rsETH市场冻结
~$196M 已确认坏账
TVL：26.4B → 19.8B

🔴 SparkLend → rsETH市场冻结
🔴 Fluid → rsETH市场冻结
🔴 Upshift → rsETH市场冻结
🔴 Lido Finance → 暂停earnETH存款
(承载rsETH敞口)
🔴 Compound → 预防性冻结
🔴 额外的3个DeFi → 紧急暂停协议

◈ 03 — 市场反应：即时价格冲击

📉 rsETH价格 → −23% (相对ETH严重脱钩)
📉 AAVE代币 → 数小时内下跌−10%至−16%
📉 ZRO (LayerZero) → 24小时内下跌−22%
📉 ETH → −3.72% (全市场风险收缩)
📉 BTC → $74,026 (−2.36%)
📉 总市值 → $2.59T (−$80B+较近期高点回落)
📊 恐惧与贪婪 → 27/100 — 恐惧 (近3周最低)
💥 24小时清算 → $306.82M (81%多头被清算)
👥 受影响账户 → 105,374名交易者被清算

市场反应迅速，而且远超单一协议漏洞攻击通常会造成的程度。原因在于：Kelp DAO的rsETH深度嵌入DeFi借贷基础设施之中；而对Aave——最大的DeFi借贷协议——的传染效应又放大了规模：其TVL超过$26 十亿美元，使此次事件从局部漏洞上升为系统性DeFi事件。
恐慌性抛售在所有流动性重质押代币之间迅速蔓延。交易者在同一时刻撤离rsETH、weETH以及其他LRT资产，形成了那种协调一致的卖压——而更广泛的加密市场也在最初漏洞被链上由ZachXBT确认后的数小时内感受到了这种冲击。

◈ 04 — DeFi安全背景：为何桥梁总被黑

这并不是第一次出现“跨链桥成为当年最大黑客事件切入点”的情况。贯穿DeFi历史的模式一直如出一辙。

⚔️ 2022 — Ronin Bridge → $625M 被盗
⚔️ 2022 — Wormhole Bridge → $320M 被盗
⚔️ 2022 — Nomad Bridge → $190M 被盗
⚔️ 2023 — Multichain Bridge → $130M 被盗
⚔️ 2026 — Kelp DAO Bridge → $292M 被盗 ← 本周

为什么桥梁是最薄弱环节：
▸ 桥梁必须信任来自其他区块链的外部消息，而它们无法原生验证。这种信任会制造一个攻击面，仅靠链上智能合约本身并没有能力完全消除这一风险。

▸ 像LayerZero这样的跨链消息协议确实能降低但无法消除这种信任差距。只要攻击者足够复杂，并理解验证逻辑，就能伪造能够通过校验的消息。

▸ 桥梁中的储备金集中在少数关键点上，形成单点故障。一旦某次利用成功，它会在所有连接链上同时抽干为代币提供支撑的整个储备。

▸ Kelp DAO在2025年4月发生的先前安全事件——费用合约漏洞导致超额铸造——是一种未被桥层面处理掉的预警信号。

▸ 2026年4月1日的$285 百万级Drift Protocol漏洞利用事件，距本次攻击仅17天之前，就已经把2026年4月确立为近期记忆中DeFi安全最糟糕的月份。如今Kelp遭黑事件已经超过了它。

仅2026年4月已经出现了：Drift Protocol ($285M)、Kelp DAO ($292M)、Grinex交易所 ($13.74M)、Hyperbridge伪造 ($2.5M)、CoW Swap域名劫持 ($1.2M)、Silo Finance预言机 ($392K)，以及Aethir桥攻击 (contained)。2026年4月在DeFi安全漏洞中的总损害现已超过$600 百万，达到单月级别。

◈ 05 — 更广泛的加密影响：DeFi的痛苦如何传导到比特币

市场传导链条：
━━━━━━━━━━━━━━━━━━━━━━━━━━━
Kelp黑客 → rsETH脱钩 → Aave冻结 →
DeFi TVL崩溃 → ETH抛售 → BTC风险收缩 →
恐惧与贪婪降至27 → 清算连锁反应 →
散户情绪崩溃 → 周末流动性稀薄
放大每一笔卖单 → 整体市场下跌 $80B+

以太坊的具体影响：
以太坊与DeFi的关系使得，当DeFi协议遭遇大规模漏洞时，ETH成为最直接暴露的主要资产。rsETH是重质押ETH衍生品——当它脱钩时，20+条链上的ETH持有者都会对抵押品质量产生不确定性。由于在风险收缩抛售期间ETH表现弱于比特币，ETH/BTC比率跌至0.0308，为年内最低。

DeFi板块情绪：
Aave单日TVL的崩溃达到66亿美元，代表DeFi历史上最快的单日TVL破坏事件之一，且并非由熊市造成。当DeFi中最大的借贷协议在不到24小时内，仅因一次漏洞攻击的传染就损失其TVL的25%——而这甚至并不是一次直接攻击——这说明DeFi基础设施的互联性会带来系统性风险，且并非单个协议的安全审计就能完全遏制。
投资者信任影响：

流动性重质押代币是2025年以及2026年初最热门的DeFi品类之一，如今却被证明其携带了集中式桥梁风险，而这类风险并未在其收益溢价中被充分定价。每一个协议中的每个LRT持有者现在都在重新评估：额外的重质押收益，是否值得承担支撑在其代币之下的这类桥梁安全风险。

◈ 裁决 — 展望DeFi未来：这意味着什么

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2026年4月 DeFi损害总计 → 6亿美元+
2026年最大单次黑客 → Kelp DAO $292M
影响的协议 → 9个主要平台
链条被抛弃 → 20+个网络
AAVE坏账 → ~$196 百万
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Kelp DAO的漏洞并不仅仅是$292 百万的损失。这是一份概念验证：支撑整个多链DeFi生态的跨链消息基础设施，存在验证层面的漏洞，而足够复杂的攻击者可以在极大规模上加以利用。除非桥梁开发出无法被伪造的验证机制，或除非DeFi协议减少对跨链储备的依赖，否则每个流动性重质押协议、每个跨链借贷市场以及每个多链收益策略，都将携带一种版本相同的风险——而这种风险刚刚让Kelp DAO付出了近$300 百万的代价。

DeFi的承诺是开放金融；其持续存在的脆弱性则是开放基础设施。这两者不可分割，而2026年4月已经比以往任何一个月份都更清楚地证明了这一点。

#Gate13周年现场直击
#Gate13周年
#CreatorCarvinal
#KelpDAOBridgeHacked

查看原文