去中心化金融(DeFi)領域在昨日發生重大安全事件,流動性再質押協議 Kelp DAO 旗下的跨鏈橋遭駭客入侵,導致其原生代幣 rsETH 被大量異常鑄造與轉移,初步估計損失金額高達 2.92 至 2.94 億美元,目前多個 DeFi 平台都有不同程度的損失,當中包括最大 DeFi 平台 Aave,成為 2026 年迄今規模最大的 DeFi 安全事件。
事件經過:跨鏈訊息偽造導致大額失竊
根據鏈上數據與分析,這起攻擊事件發生於 4 月 19 日凌晨 1 點 35 分(UTC+8),駭客鎖定了 Kelp DAO 基於 LayerZero 構建的 OFT(全鏈可替代代幣)跨鏈橋,透過偽造跨鏈訊息,成功欺騙系統將 116,500 枚 rsETH(約佔總流通量的 18%)發送至駭客控制的錢包地址。
調查顯示,攻擊者預先透過 Tornado Cash 進行資金籌備,並在埋伏約 10 小時後發動攻擊,攻擊者隨後利用 LayerZero 的 lzReceive 函數觸發漏洞。值得注意的是,駭客後續曾嘗試再次竊取價值約 2 億美元的 80,000 枚 rsETH,但因 Kelp DAO 緊急暫停合約而未遂。
影響擴散:DeFi 借貸市場遭受連帶衝擊
得手後的駭客迅速將竊取的 rsETH 作為抵押品,存入 Aave V3/V4 以及 SparkLend 、 Fluid 等主流借貸協議,並借出大量的 WETH/ETH,當 rsETH 被標記為受損資產後,上述借貸平台隨即面臨嚴重的壞帳風險。
Aave 在事件發生後立即採取行動,凍結了 V3 與 V4 上的 rsETH 市場,暫停相關存款與借款功能,儘管 Aave 本身協議未遭駭,但可能會產生巨額壞帳,此次事件顯示了「DeFi 樂高積木」式的組合風險:單一協議的跨鏈橋漏洞,迅速引發了跨平台的連鎖反應。
Kelp DAO 緊急處置與現狀
Kelp DAO 在偵測到異常活動後,於 46 分鐘內啟動緊急機制,暫停了以太坊主網及多個 L2 網路上的 rsETH 合約,並凍結了核心協議功能。 Kelp DAO 目前已聯合 LayerZero 、 Unichain 、安全審計公司及外部安全專家進行深入調查,並發布官方聲明呼籲用戶僅透過官方管道獲取最新進展。
截至 4 月 19 日下午的最新狀況:
合約狀態: 相關合約仍處於暫停狀態。
資產流向: 據鏈上追蹤,駭客已將約 2.5 億美元的竊取代幣兌換為 ETH 。
技術分析: 此事件被歸類為跨鏈橋與訊息層漏洞(LayerZero OFT),而非 Kelp DAO 核心質押合約被直接攻破。目前主網對應的 ETH 抵押品看似安全,但跨鏈流動性已嚴重受創,導致多鏈上的封裝以太幣流動性陷入僵局。
建議行動:由於事件發生在假日,多個 DeFi 平台的對應速度都明顯較慢,而且隨著大額質押抽離和兌換資產,有機會導致更多 DeFi 平台暫停提幣兌換,建議資金質押在 DeFi 平台的用戶盡快將資金撤離到自託管錢包。
安全研究人員如 ZachXBT 與 PeckShield 等正持續監控駭客地址,目前調查工作仍在進行中,受影響的借貸協議與用戶損失賠償方案尚未出爐,投資者應密切關注 Kelp DAO 官方帳號發布的後續公告。
免責聲明:本文只為提供市場訊息,所有內容及觀點僅供參考,不構成投資建議,不代表區塊客觀點和立場。投資者應自行決策與交易,對投資者交易形成的直接或間接損失,作者及區塊客將不承擔任何責任。
