一次駭客攻擊,九大協議損失2.92億美元:Kelp漏洞揭示DeFi的連鎖感染問題
el****@gmail.com2026-04-23
一則偽造的 LayerZero 訊息從 Kelp DAO 抽走了 2.93 億美元,引發九個 DeFi 協議的連鎖反應,導致 Aave 的總鎖倉價值(TVL)下跌 66 億美元,暴露出跨鏈基礎設施成為加密領域最薄弱的環節。
週六下午,一名攻擊者向 Kelp DAO 由 LayerZero 驅動的橋發送了一個偽造的指令。該橋將其視為真。在短短幾分鐘內,116,500 枚 rsETH(約佔該代幣總流通供應量的 18%)被轉入攻擊者的錢包。當 Kelp 暫停其智能合約時,被盜的代幣已經作為抵押品存入 Aave、Compound 和 Euler,以借出數億美元的封裝以太幣。結果是:Kelp 損失了約 2.93 億美元;Aave 損失了價值 66 億美元的鎖倉資產;至少有九個不同的協議試圖凍結他們並未建立的交易市場。
這不僅僅是 Kelp 的問題;這關乎許多協議對受損橋的依賴——這是一個值得深思的問題!
單一橋接漏洞如何演變成多協議危機
Kelp 作為 流動性再質押的協議。在 Kelp 上質押以太幣(stETH)的用戶會收到名為 rsETH 的代幣,這些代幣會產生獎勵,然後可以在眾多 DeFi 協議中使用。然而,有超過 20 個活躍網絡上流通著 rsETH 代幣,作為通過 Kelp 質押的抵押品或賭注收據,並且所有這些都與橋上 Kelp 持有的儲備相關聯。因此,當橋被耗盡,並且作為抵押品流通的 rsETH 代幣變得可疑時(無論它們來自何處),接受這些代幣作為抵押品的協議(Aave、SparkLend、Fluid、Euler、Compound 等)就無法驗證支持其貸款的抵押品真實性。
Cyvers 區塊鏈安全公司將此問題標記為 因協議漏洞引起的「跨協議傳染事件」。 雖然 Aave、Compound 和 Euler 的合約沒有信託過失,但 Aave 將 rsETH 整合到他們的借貸池中,並且沒有將其與其他貸款隔離,從而加劇了 rsETH 給其借貸池帶來的風險。隨後,Aave 的代幣價值下跌了 16%。Aave 的總鎖倉價值(TVL)在數小時內從 264 億美元跌至約 200 億美元。Aave 現在持有約 1.96 億美元的壞帳,主要集中在 rsETH 和封裝以太幣交易對,Aave 的傘型安全基金可能儲備不足。
無人樂見的資本效率權衡
Curve Finance 的創辦人 Michael Egorov 明確指出,這些結構中的問題透過 非隔離式借貸模型而加劇,其中所有資產共享的資金池由於單一風險池的存在而為所有其他資產增加了額外風險。如果 rsETH 被隔離在其自身的借貸池中,那麼當發生這種漏洞時,傳染性將僅限於 Kelp,而不會影響其他協議、其他用戶或代幣。
許多協議不完全隔離其資金池的原因是這會降低資本效率。由於來自許多不同協議的流動性被添加到單一資金池中,它允許流動性更自由地流動而無限制,這使得借貸成本更低,並透過借貸產生更高的收益。透過隔離借貸池,每個池子所包含的風險會降低,但這需要犧牲某種類型的資本效率來產生流動性。
此外,Egorov 指出了 Kelp 橋配置的另一個問題,該橋採用了單一驗證器實例進行配置,這意味著只有一個驗證點用於驗證發送往來這兩個協議的跨鏈訊息。這個配置錯誤在橋最初上線時就應該被注意到,但卻沒有。因此,當一個偽造的訊息就能耗盡整個橋。
跨鏈基礎設施是薄弱環節
這次攻擊的原因並非像我們通常看到的攻擊那樣是智能合約中的錯誤。駭客利用橋來攻擊 Kelp。Egorov 特別指出:「跨鏈既困難又不安全。只有在必要時才使用跨鏈技術,並務必極其謹慎。許多人以前聽過這句話,但卻置之不理,因為跨鏈是業界在多個區塊鏈之間創建去中心化金融系統的方式。如果你的協議存在於十個不同的網絡上,那麼你需要一種方式來連接所有這些網絡,而這些幾乎是最大的駭客攻擊發生地,因為它們是分隔每個獨立系統的邊界,因此攻擊者通常會首先尋找攻擊邊界。」
Kelp 漏洞已迅速成為 2026 年最大的 DeFi 駭客攻擊事件,而撰寫本文時,2026 年才剛剛開始(進入第四個月)。 僅在 2026 年第一季度,因駭客攻擊、漏洞利用和詐騙而損失的加密貨幣總額約為 4.82 億美元。 Ledger 的安全長表示,2026 年「很可能是有史以來駭客攻擊最嚴重的一年」,這是他們從當前趨勢中預測的未來趨勢。
信任何去何從
「DeFi 已死」是這次事件發生後 DeFi 用戶在社群媒體上最常發表的評論之一——考慮到漏洞的規模,這並不令人驚訝;然而,這可能並非對目前 DeFi 生態系統狀況的準確評估。然而,這次事件的規模性質有所不同,它同時影響了跨鏈基礎設施、再質押模型和借貸市場,因此不能將其歸類為單一協議的弱點/針對性攻擊;相反,它作為一個壓力測試,證明了整個 DeFi 生態系統在底層協議協同運作方面有多麼緊密耦合。
正如 Ledger 的安全長 Guillemet 所說:「總體而言,這類事件侵蝕了 DeFi 社群對 DeFi 協議運作完整性的信任。」
另一方面,Egorov 提出了一種不同的觀點——儘管環境艱難,加密貨幣總是從 DeFi 過去的失敗中學習並變得更強大——原則上,他是對的。然而;從這類事件中學習通常會讓終端用戶蒙受意想不到的財務損失。PYMNTS.com 指出,九個協議,損失了價值 2.93 億美元的現金,以及一個偽造的橋接訊息 。毫無疑問,我們已經從中吸取了教訓,但我們還需要吸取多少次教訓呢?
