KelpDAO被盗敲响DeFi安全警钟 带给我们什么启示

Shaw.ai，金色财经

4月18日，加密货币圈迎来了2026年迄今为止最严重的去中心化金融（DeFi）安全事件——KelpDAO的rsETH跨链桥遭黑客攻击，短短几小时内，约116500枚rsETH被盗，按当时价格计算价值高达2.9亿美元，相当于rsETH总供给量的18%。这场攻击不仅让KelpDAO陷入危机，更引发了整个DeFi行业的流动性恐慌，连头部借贷平台Aave都被直接拖下水，超90亿美元存款被紧急撤出，堪称一次“金融海啸”级别的安全事故。

可能很多人对“跨链桥”“rsETH”“流动性挤兑”这些词感到陌生，别急，我们用最通俗的语言，一步步还原这场黑客攻击的全过程，再聊聊事件的最新进展和大家最关心的问题。

一、先搞懂3个关键概念，轻松看懂事件

在说攻击过程前，先理清3个核心名词，不然很容易被绕晕：

• rsETH：简单说就是“ETH的衍生品代币”。我们知道ETH（以太坊）可以“质押”赚利息，但质押后资金会被锁定，不能随时用。rsETH就是把质押的ETH“打包”成的代币，持有rsETH，就相当于持有了对这些质押ETH的所有权，既能赚质押利息，又能随时交易、抵押，有点像“质押ETH的兑换券”。

• 跨链桥：不同的区块链（比如以太坊、BSC）就像不同的“银行”，跨链桥就是连接这些“银行”的“转账通道”，让rsETH这类代币能在不同区块链之间转移。这次被攻击的，就是KelpDAO搭建在LayerZero平台上的rsETH跨链桥。

• LayerZero DVN模块：可以理解为跨链桥的“安检员”，负责验证跨链交易的真实性——比如确认你确实在A链转了代币，才会允许在B链发放对应的代币。正常情况下，为了安全，会有多个“安检员”（多重验证器）一起审核，但KelpDAO只设置了1个“安检员”（单一验证器），这就给了黑客可乘之机。

二、黑客攻击全过程：3步盗走2.9亿美元，堪称“教科书级”操作

这次黑客攻击非常隐蔽且高效，全程不到1小时就完成了核心操作，步骤清晰，针对性极强，具体可以分为3步：

第一步：钻漏洞，“凭空造钱”

黑客精准发现了KelpDAO跨链桥的致命漏洞——依赖单一LayerZero DVN验证器。正常情况下，跨链铸造rsETH需要有真实的ETH质押作为支撑，但黑客通过技术手段，伪造了跨链交易的验证消息，欺骗了这个唯一的“安检员”。

更具体地说，黑客提前入侵了LayerZero DVN依赖的RPC节点，替换了节点的运行程序，还通过DDoS攻击打掉了正常的节点，迫使“安检员”只能依赖被篡改的节点获取信息。这样一来，黑客就成功在以太坊主网“无中生有”，铸造出了116500枚没有任何真实抵押的“虚假”rsETH，相当于拿着假的“质押兑换券”，却骗过了所有人。

第二步：去借贷，“变假为真”

有了这些“虚假”rsETH后，黑客并没有直接出售（怕被发现），而是选择了更隐蔽的方式变现——去主流借贷平台抵押借钱。他们把这些假rsETH存入Aave、Compound等9个借贷协议，其中主要是Aave v3，将其作为抵押品，借出了大量真实的WETH（ETH的包装代币，价值和ETH一致），相当于用“假币”借走了“真钱”。

第三步：引发恐慌，流动性挤兑爆发

黑客的操作速度极快，大量假rsETH被抵押、大量WETH被借出，直接导致Aave v3的WETH市场流动性被彻底耗尽，利用率瞬间飙升至100%——简单说就是，Aave里的WETH被借光了，正常用户想提现都提不出来。

消息传开后，市场瞬间陷入恐慌：大家担心Aave会因为黑客的“假抵押”出现巨额坏账，自己的存款不安全。于是，一场大规模的“流动性挤兑”爆发了——不仅WETH市场，USDC、USDT等稳定币市场的利用率也飙升，投资者疯狂从Aave撤出资金，48小时内，Aave平台就有超90亿美元存款被转出，整个DeFi行业的总资金规模也缩水了132亿美元。

值得一提的是，KelpDAO在攻击发生约46分钟后就发现了异常，紧急暂停了rsETH相关的合约功能，阻止了黑客的进一步攻击，否则损失可能会更大。而这场攻击，也被业内认为是朝鲜Lazarus Group组织所为，其专业化的操作的痕迹十分明显。

三、事件最新进展：各方紧急补救，坏账问题仍待解决

攻击发生后，KelpDAO、LayerZero、Aave等相关方迅速采取行动，截至4月23日，最新进展如下：

1. KelpDAO：紧急暂停了主网及多个L2链上的rsETH相关合约，联合LayerZero、审计机构和安全专家展开全面调查，目前仍在梳理损失细节，探讨坏账解决方案。

2. LayerZero：明确表示此次攻击并非自身协议漏洞，而是KelpDAO采用“单一DVN验证器”的配置问题，与自身推荐的“多重验证器”最佳实践不符。目前已废弃受影响的RPC节点，替换为新节点，并要求所有仍使用“单一验证器”的项目尽快升级为“多重验证器”，同时配合全球执法机构追踪黑客资金。

3. Aave：紧急冻结了rsETH抵押市场，防止坏账进一步扩大。4月21日，Aave更新进展，宣布以太坊Core V3市场的WETH储备已解冻，用户可再次向该市场供应WETH，但WETH的贷款价值比（LTV）仍为0（即暂时不能用WETH抵押借钱）；而以太坊Prime、Arbitrum等其他链上的WETH储备仍处于冻结状态，后续将逐步推进恢复工作。

4. 行业影响：此次事件引发了全行业对跨链桥安全、再质押代币（LRT）风险的反思，多个借贷协议开始收紧抵押品准入，部分协议下架了低使用率的LRT代币，避免再次出现类似风险。此外，多家加密安全机构紧急发布跨链桥安全指南，建议项目方全面排查“单点验证”“节点安全”等潜在隐患，部分头部跨链项目已主动启动安全升级，增加多重验证节点、优化RPC节点防护机制，防范DDoS攻击和节点篡改。

5. 黑客资金追踪细节：截至4月23日，链上数据显示，黑客盗走的116500枚rsETH中，已有约30%被兑换为WETH和USDC，部分资金通过去中心化交易所（DEX）拆分转移，另有约20%的资金被转入隐私钱包，增加了追踪难度。不过，安全机构已锁定部分黑客关联地址，发现有小部分资金流向了合规交易所，目前正联合交易所进行冻结排查，后续将持续披露追踪进展。

6. 用户补偿相关动态：KelpDAO在4月22日的社区公告中表示，将优先保障普通用户权益，正在梳理rsETH持有者名单和损失情况，计划通过“社区国库补贴+第三方保险赔付”的方式弥补部分损失，但具体补偿比例、赔付时间尚未确定，需等待审计完成后公布详细方案。Aave则明确表示，此次事件产生的坏账不会由普通存款用户承担，将通过平台风险准备金和相关责任方分担解决。

四、你最关心的问题，一次性说清

事件发生后，很多投资者和加密货币用户都有不少疑问，这里整理了最常见的5个问题，用通俗的语言解答：

1. 黑客为什么能成功？核心原因是什么？

核心原因是KelpDAO的“安全配置失误”——把跨链桥的安全完全交给了一个“安检员”（单一DVN验证器）。LayerZero其实早就提醒过，这种配置风险极高，但KelpDAO没有重视。黑客正是抓住了这个漏洞，通过篡改节点、伪造验证消息，实现了“无抵押造币”，本质上是“单点信任”引发的安全事故，而非代码本身的漏洞。

2. 被盗的2.9亿美元，还能追回来吗？

难度很大，但并非完全没有可能。目前LayerZero和相关机构正在配合执法部门追踪黑客资金，黑客虽然用了隐私工具混淆资金来源，但链上交易的痕迹无法完全消除。不过，考虑到黑客的专业性（疑似APT组织），且部分资金可能已被转移到其他地方，能追回的金额暂时无法确定。

3. 普通用户的资金会受影响吗？

分两种情况：① 如果你在Aave等平台没有抵押rsETH，只是单纯存款（比如存USDC、USDT、ETH），目前来看资金是安全的，Aave已经采取了冻结措施，后续会逐步恢复正常；② 如果你持有rsETH，或者用rsETH做了抵押，可能会面临损失，具体要看KelpDAO后续的坏账处理方案。

4. 这次事件和之前的跨链桥攻击有什么不一样？

最大的不同是“连锁反应极强”。以往的跨链桥攻击大多只影响单一项目，而这次因为rsETH被多个主流借贷协议接受作为抵押品，黑客的操作直接引发了全行业的流动性挤兑，波及范围更广，对行业信任的冲击也更大。另外，这次攻击是“配置失误+基础设施入侵”结合，而非单纯的私钥被盗或代码漏洞。

5. 后续DeFi行业会有什么变化？

最直接的变化是“安全配置升级”——未来跨链桥大概率会强制要求“多重验证器”，避免单点失效；同时，借贷协议会加强抵押品审核，对LRT这类衍生品代币的准入会更严格。此外，行业可能会推动“链上自动熔断机制”，在出现异常交易时自动暂停相关操作，避免损失扩大，让DeFi的风险管理更完善。

五、总结：一场给全行业敲醒的警钟

这场2.9亿美元的黑客攻击，本质上是“侥幸心理”和“安全疏忽”导致的悲剧——KelpDAO忽视了LayerZero的安全建议，采用了高风险的单一验证器配置，最终给了黑客可乘之机。而事件的连锁反应，也暴露了DeFi“乐高式”结构的隐患：一个环节出问题，可能会牵连整个行业。

对于普通用户来说，这也是一次重要的提醒：加密货币投资本身就有风险，选择项目时，不仅要看其收益，更要关注其安全配置和风险管理能力，避免因为项目方的疏忽，让自己的资金蒙受损失。

目前，事件的后续处理仍在推进中，坏账如何分担、跨链桥安全如何升级、用户补偿方案如何落地，仍是行业关注的焦点。此外，此次事件也推动监管层面的关注，部分国家加密监管机构已表示，将加快出台跨链桥安全监管细则，规范再质押代币的发行和流通，防范系统性风险。我们也会持续关注进展，为大家带来最新消息。