DeFi 震撼弹：Kelp DAO 跨链桥遭骇，损失近 3 亿美元并波及多个借贷协议

去中心化金融（DeFi）领域在昨日发生重大安全事件，流动性再质押协议 Kelp DAO 旗下的跨链桥遭骇客入侵，导致其原生代币 rsETH 被大量异常铸造与转移，初步估计损失金额高达 2.92 至 2.94 亿美元，目前多个 DeFi 平台都有不同程度的损失，当中包括最大 DeFi 平台 Aave，成为 2026 年迄今规模最大的 DeFi 安全事件。

事件经过：跨链讯息伪造导致大额失窃

根据链上数据与分析，这起攻击事件发生于 4 月 19 日凌晨 1 点 35 分（UTC+8），骇客锁定了 Kelp DAO 基于 LayerZero 构建的 OFT（全链可替代代币）跨链桥，透过伪造跨链讯息，成功欺骗系统将 116,500 枚 rsETH（约占总流通量的 18%）发送至骇客控制的钱包地址。

调查显示，攻击者预先透过 Tornado Cash 进行资金筹备，并在埋伏约 10 小时后发动攻击，攻击者随后利用 LayerZero 的 lzReceive 函数触发漏洞。值得注意的是，骇客后续曾尝试再次窃取价值约 2 亿美元的 80,000 枚 rsETH，但因 Kelp DAO 紧急暂停合约而未遂。

影响扩散：DeFi 借贷市场遭受连带冲击

得手后的骇客迅速将窃取的 rsETH 作为抵押品，存入 Aave V3/V4 以及 SparkLend 、 Fluid 等主流借贷协议，并借出大量的 WETH/ETH，当 rsETH 被标记为受损资产后，上述借贷平台随即面临严重的坏帐风险。

Aave 在事件发生后立即采取行动，冻结了 V3 与 V4 上的 rsETH 市场，暂停相关存款与借款功能，尽管 Aave 本身协议未遭骇，但可能会产生巨额坏帐，此次事件显示了「DeFi 乐高积木」式的组合风险：单一协议的跨链桥漏洞，迅速引发了跨平台的连锁反应。

Kelp DAO 紧急处置与现状

Kelp DAO 在侦测到异常活动后，于 46 分钟内启动紧急机制，暂停了以太坊主网及多个 L2 网路上的 rsETH 合约，并冻结了核心协议功能。 Kelp DAO 目前已联合 LayerZero 、 Unichain 、安全审计公司及外部安全专家进行深入调查，并发布官方声明呼吁用户仅透过官方管道获取最新进展。

截至 4 月 19 日下午的最新状况：

合约状态： 相关合约仍处于暂停状态。

资产流向： 据链上追踪，骇客已将约 2.5 亿美元的窃取代币兑换为 ETH 。

技术分析： 此事件被归类为跨链桥与讯息层漏洞（LayerZero OFT），而非 Kelp DAO 核心质押合约被直接攻破。目前主网对应的 ETH 抵押品看似安全，但跨链流动性已严重受创，导致多链上的封装以太币流动性陷入僵局。

建议行动：由于事件发生在假日，多个 DeFi 平台的对应速度都明显较慢，而且随著大额质押抽离和兑换资产，有机会导致更多 DeFi 平台暂停提币兑换，建议资金质押在 DeFi 平台的用户尽快将资金撤离到自托管钱包。

安全研究人员如 ZachXBT 与 PeckShield 等正持续监控骇客地址，目前调查工作仍在进行中，受影响的借贷协议与用户损失赔偿方案尚未出炉，投资者应密切关注 Kelp DAO 官方帐号发布的后续公告。