三億之後又三億 DeFi圈的钱還敢存嗎？

作者：Jae，PANews

4月的加密行業波雲詭譎，在Solana生態Perp DEX龍頭Drift遭遇“愚人劫”被盜2.85億美元後不久，市場就陷入了“蹦迪幣”RAVE的蹦極式行情。

而正當RAVE剛一退燒，DeFi市場又遇到了以太坊頭部LRT（流動性再質押）協議KelpDAO被黑客攻擊的當頭棒喝。

4月18日，KelpDAO慘遭黑客利用基於LayerZero的跨鏈橋漏洞攻破，旗下資產約116,500枚rsETH被非法提取，損失高達2.92億美元，被盜規模更甚於Drift，成為2026年迄今為止最大的一起鏈上安全事件。

黑客沒有攻破主網質押合約，沒有私鑰泄露，只是跨鏈驗證的一道微小裂縫，卻引爆了DeFi的組合性風險。

當再質押的槓桿疊加多鏈擴張的野心，DeFi在“收益優先”的路上狂奔三年後，再次面臨“收益至上”還是“安全至上”的靈魂拷問。

單點驗證漏洞引爆LRT危機，KelpDAO被盜近3億美金

被盜事件主角，KelpDAO曾是LRT賽道的明星選手。

**它的商業邏輯精准踩中市場痛點，打造了一套“一魚三吃”的模型。**用戶將stETH、rETH等LST（流動性質押）資產封裝為rsETH，既能保留ETH質押的基礎收益，又能疊加EigenLayer的再質押獎勵，還能拿著rsETH穿梭於各大DeFi借貸、挖礦場景。

為了搶占市場份額，KelpDAO激進擴張到16條公鏈，rsETH憑借高收益與高流動性，成為各大Layer 2、Aave的主流抵押資產，深度嵌入到以太坊DeFi生態。

這套多鏈架構高度依賴於LayerZero提供的底層跨鏈通信協議，而這也成為了災難的震中。

4月20日，LayerZero發布事件回顧文章稱，KelpDAO遭到攻擊，損失約2.9億美元。初步跡象表明，此次攻擊可能出自一個高度老練的國家行為主體之手，很可能是朝鮮的Lazarus Group，更具體地說是TraderTraitor。由於KelpDAO採用單簽設置，此次事件僅限於其rsETH配置，不會波及任何其他跨鏈資產或應用程序。

同時，LayerZero承認，KelpDAO只使用了1/1 DVN配置，存在“單點風險”，正在聯繫所有採用1/1 DVN配置的應用程序，以遷移到具有冗餘的多簽設置。然而，其在此前並未督促KelpDAO作出更改或強制多簽配置，也令LayerZero難辭其咎。

黑客向LayerZero下游基礎設施針對性投毒，入侵了其中兩個獨立節點，使DVN確認了從未發生的交易。”

據LayerZero披露，黑客通過獲取LayerZero Labs DVN使用的RPC列表，入侵了其中兩個獨立節點並替換了op-geth二進制文件，同時對未受感染的RPC發起DDoS攻擊觸發故障轉移，使DVN確認了從未發生的交易。

簡而言之，黑客“憑空”激活了rsETH的提取權限。

更令人後怕的是，如果不是緊急黑名單機制在最後3分鐘觸發，黑客將再多拿走1億美元，總損失會直接沖破4億美金。

這場暴雷，早有伏筆。

黑客的攻擊路徑直指行業通病：協議驗證機制的脆弱性。

在追求跨鏈效率的狂熱中，KelpDAO對其長期存在的單點驗證問題視若無睹，最終成為黑客的突破口。

這並不是KelpDAO第一次暴露安全問題。去年5月，協議因合約升級的單位縮放錯誤，鑄造出31.2 quintillion（五千萬億）枚rsETH，雖及時銷毀未造成損失，卻早已暴露其在安全層面的隱患。

再質押賽道的內卷，讓安全成為了犧牲品。為了持續擴大規模，KelpDAO不斷接入新LST資產、拓展新L2網絡。然而，每多一條鏈、多一種資產，攻擊面就呈指數級擴大。

DeFi資深玩家本末點明，L2的TVL獲客成本預計會進一步提升，大量TVL將回流至L1。

多鏈擴張的“雙刃劍”，最終變成刺穿協議自身及整個DeFi生態的利刃。

Aave遭rsETH投毒，2億美元壞帳引發66億資本大逃殺

DeFi是樂高積木，一塊斷裂，全局崩塌。

黑客拿到非法rsETH後，並沒有在DEX上直接砸盤，而是採取了“資產投毒”策略：將rsETH作為“高質量抵押品”存入Aave，套取真實的高流動性資產。

Aave V3/V4在以太坊、Arbitrum上都接受rsETH作為合格抵押品，黑客存入rsETH，借出大量WETH、USDC與USDT，將非法資產轉化為協議壞帳。

根據Chaos Labs的估算，Aave面臨的壞帳規模遠超市場預期，逼近2億美元。

壞帳消息傳出後，AAVE代幣迅速下跌約18%。

自去年底以來，Aave似乎陷入了“重度水逆”。在接連經歷了治理亂局、服務商“出走潮”後，現在又因集成了rsETH相關市場，成為了黑客的最佳流動性出口。

鏈上數據曝光的一幕，進一步給Aave火上澆油。

孫宇晨被監測到從Aave緊急贖回了53,665枚ETH，價值1.26億美元。他的撤資被視為巨鯨對協議安全失去信心的風向標。

緊隨其後的是全市場的資本外逃。DeFiLlama數據顯示，Aave在單日內錄得高達66億美元的淨流出，資金規模驟減23% 。

雖然根本問題並非由Aave引發，但這次事件卻是對其風險管理機制的一次深刻拷問。

部分用戶指出，有社區成員早於15個月前就在Aave治理論壇公開警告KelpDAO的單點驗證風險。然而，Aave團隊並未提出任何解決措施。

相比之下，Spark在今年1月就下架了rsETH。DeFi研究員CM直言：整個Sky體系都是主動收緊的風控哲學，雖然可能導致協議發展緩慢，但在關鍵時刻體現出了價值。

孫宇晨撤離的5.36萬枚ETH也存到了Spark。兩天內，SPARK代幣大漲超過50%，與AAVE形成鮮明對比。

Nothing Research聯創Todd認為，面對近2億美元的壞帳，Aave可能將啟用其“Umbrella（保護傘）”保險模塊。

雖然Umbrella模塊提供了第一道防線，但其資金池規模顯然不足以完全覆蓋約2億美元的資產失血。

短期內，Aave的自救，只是延緩危機，而非妥善解決，主要缺口仍須通過Aave的協議盈利或代幣增發來彌補，具體方案還將留給社區進一步討論。

隔離池+強制上險+風險重定價，安全不再有“免費午餐”

KelpDAO事件宣告著LRT狂潮正式落幕，DeFi市場將迎來三大不可逆的風控變革。

**借貸市場的隔離化：**Aave的非隔離借貸模式成為歷史，資產將被限制在完全獨立的“孤島池（Siloed Pools）”。即使單一標的出問題，也無法影響到存在其它流動性池的資產。

Curve創始人Michael Egorov發文指出，非隔離借貸模式具備良好的擴展性，但風險更高，建議市場採用完全隔離或混合模式。

完全隔離架構雖然可能降低資本效率，但將大幅增強系統的抗風險韌性。

**保險模塊的強制化：**Umbrella模塊將推動協議保險從“可選配置”變為“必備組件”。

未來，任何想在Aave等主流借貸平台上市的新資產，可能都被要求必須在相應的保險庫中注入一定比例的質押金，作為相關市場違約或被盜的第一受償源。

**DeFi資產的風險重定價：**OneKey創始人Yishi直言，DeFi的收益和風險如今完全不成正比，且安全是有剛性成本的。

市場會對風險重新定價。協議的費率、基礎設施費用都將有上調壓力，否則無法支撐安全投入。

因此，DeFi資產需要以其底層安全性為基礎進行重新定價。LRT等封裝資產的風險明顯高於原生資產，借貸平台理當將封裝資產的風險折價計入其風控模型。

KelpDAO被盜是一面殘酷的鏡子，映照出了DeFi在追求極致收益與多鏈擴張過程中對安全底線的集體漠視。

近3億美元的損失是昂貴的，但如果它能促使DeFi從盲目追求組合性轉向追求穩健性，那麼這或許是行業走向成熟必須要支付的學費。

在KelpDAO事件的餘波中，市場逐漸意識到，DeFi的真正價值是在於提供一個更透明、更安全、更具抗風險能力的金融基礎設施。

而當海嘯退去，留下的將是更堅固的基石。