😱💢💥DeFi 损失了 $292 百万不到一小时！

设置中的一个错误打开了大门。一个被忽视的桥，没有足够的监控，只需这样一点点疏忽。那年最大规模的DeFi漏洞不是来自聪明才智，而是疏忽。

2026年4月18日。时间：UTC 17:35。有人从Kelp DAO的LayerZero桥带走了116,500个rsETH。那次盗窃？接近$292 百万。46分钟后，Kelp暂停了其合约。在这段时间里，约值$250 百万的被盗代币被转手，用之前通过Tornado Cash悄悄加载的钱包转换成ETH。每一步都事先安排妥当。没有任何侥幸。损失已成定局。

这次漏洞是2026年迄今最大的DeFi黑客事件——没有其他事件能比得上。

被攻破的内容和使用的方法

围绕Kelp DAO的活动如海浪般涌动，它像一台机器，让人们存入ETH或某些质押资产。这些存款不静止，而是流入EigenLayer，随着时间积累额外收益。出来的是rsETH，一种可以自由兑换或转移的代币。麻烦来了：连接链之间的链间桥，持有包裹rsETH的储备，受损了。这个连接支持着超过二十个网络的操作。Arbitrum领跑，然后是Base、Linea，甚至一些较少人知的如Blast和Scroll，全部连接在网络中。

一个虚假信号穿过LayerZero的防御，骗过系统接受了被篡改的数据。正因为如此，Kelp的连接反应得像是得到了可信源的授权。一次转账开始了，但背后没有真正的授权。116,500个rsETH被转出，提前被转移，没人能阻止。目的地？一个已被攻击者控制的地址。

只是一条假消息引发了这一切。漏洞发生，是因为一座桥相信了它。之后一切崩溃。

只有一个签名者管理批准，所以只有一个人有权限操作交易。正因为如此，黑客通过签署转账，成功制造出大量rsETH，而原始网络上没有任何支撑。Curve Finance的创始人Michael Egorov直言不讳：“风险会出现，如果一切都依赖于一个人。”

传染迅速蔓延

事情变得更糟的时候到了。盗贼不仅拿走了资金，还用它制造更多危害。

一波借来的wETH在Aave V3中涌动，黑客将被盗的rsETH注入协议。一次漏洞引发的连锁反应，突然间，去中心化金融的许多部分都陷入了动荡。

4月18日Aave的锁定资金从264亿美元跌至接近$20 十亿，周日早晨在美国时间，损失了66亿美元，AAVE代币下跌16%。由于动荡，SparkLend、Fluid和Lido都立即暂停了rsETH市场的交易。RaveDAO的RAVE币暴跌90%，从27.33美元跌到仅1.15美元，在一次交易中市值蒸发超过$5 十亿。虽然预期稳定，但一旦数字开始下滑，平台上的混乱迅速展开。

后来还发生了别的事——两次试图提取40,000个rsETH（约$100 百万）都被阻止，直到Kelp按下紧急刹车。可即便如此，$292 百万已经消失得无影无踪。

这不是偶然，而是重复的序列

事实是，2026年对DeFi安全来说还不够友好

4月1日，Solana上的Drift Protocol遭遇一次漏洞，损失了接近$285 百万。事件追溯到与朝鲜有关的黑客。资金在漏洞中迅速消失。

一连串的黑客攻击波及多个平台，CoW Swap首先受到影响，然后Zerion在压力下崩溃。Rhea Finance紧随其后，其防御意外崩溃。Silo Finance后来也被攻破，加入了逐周展开的漏洞链。

仅2026年第一季度，诈骗和黑客就夺走了约$482 百万的数字货币。在这些事件中，虽然漏洞造成了巨大损失，但欺诈手段也在这些月中频繁出现。

一个周末，Kelp又增加了额外的$292 百万。

Ledger的首席安全官直言：“总的来说，这类事件侵蚀了对DeFi协议的信任。而且2026年很可能成为黑客最多的一年。”

DeFi构建块的残酷现实

事实是，没有人愿意承认：让DeFi灵活的东西，也在压力下崩溃。组合性通过连接建立力量，但这些连接在压力下变成了薄弱环节。

一度，rsETH作为Aave、SparkLend、Fluid、Compound和Euler的可信支撑，自由连接，构成了DeFi存在的根基。这些系统允许彼此自由操作。这是设计使然。然而，漏洞发生后，伪造的持有量主要涌入Aave，迅速被用来通过贷款提取真正的ETH，将孤立的盗窃变成了广泛的压力。

当某一部分崩溃，依赖它作为安全保障的系统也会受到影响。这不是偶然的错误，而是整个体系的运作方式。

当桥的储备耗尽，持有代币在以太坊之外的人开始怀疑这些代币是否仍有支撑。这种担忧引发了对Layer 2链的仓促退出，尽管以太坊的供应没有直接受到影响。突然，Kelp可能不得不拆分再质押的资产，只为满足提款请求。

一个失败会带动另一个失败。总是如此。

需要改变的地方

需要的东西并不隐藏，但进展总落后于需求

桥必须要求多重签名，而不是仅仅一个。单一的密钥被破坏无法解锁，只要需要多重批准。一个薄弱环节可能失败，但整个系统仍然保持关闭状态。

在抵押品接入方面，更严格的规则正在实施。借贷设置现在面临压力，首先要检查桥的设计，永远不要第二位。再质押的代币没有经过严格审查就不能通过。流程变了：在接受之前要严格审查，而不是事后补救。结构确认早，协议的犹豫也会减少。安全依赖于时机，顺序错误可能带来比延误更大的风险。

这个延误很重要。Kelp等到UTC 20:10才发出消息，尽管漏洞早已开始。整整三个小时后，他们才发布了第一条消息。这样的沉默在系统已经开始崩溃时是行不通的。

当桥出现异常，系统会立即通过跨协议断路器停止，而不是等待数小时的人为干预。警报会立即触发，相关网络会自动关闭，而不是等待修复。快速停止在问题扩散到控制点之前发生。机器比人反应更快，一旦通信出现异常，冻结会自动启动。

Michael Egorov在这次损失中看到了一线希望：“加密货币是一个严酷的环境，没有任何银行能幸免，但我们还在与之共存。DeFi会从这次事件中吸取教训，变得比以前更强。”

也许如此，但每次教训的代价都是$292 百万，价格在快速攀升。

一个缺陷打开了大门，一个虚假信息穿过了防线。46分钟后，数百万已不复存在。这次漏洞比Drift的损失还要狭窄地略微少一些。如今，它成为2026年最大的DeFi崩溃。系统之间的连接由细裂变成了全面崩溃。

在保障措施的前面一步，桥变得越来越复杂。当验证者缺乏多样性时，薄弱环节就会留下。抵押规则也没有跟上节奏。只要这些漏洞存在，类似的故事就会再次出现。这不是“如果”，而是“何时”。

DeFi的生存不是在测试什么，而是在考验它在另一场$292 百万错误出现之前，能多快地变革。

✅️关注获取更多✅️
$BTC ‌$SOL ‌#GatePreIPOsLaunchesWithSpaceX $XRP ‌