KelpDAO被盜2.92億美元事件引發連鎖反應:Aave撤資超54億美元、借貸市場風險遭重新評估
事件概要
BlockBeats 消息,4 月 19 日,多鏈流動性質押平臺 KelpDAO 今日凌晨遭攻擊,攻擊者從 KelpDAO 基於 LayerZero 的跨鏈橋中轉出 116,500 枚 rsETH,約合 2.92 億美元,是 2026 年截至目前規模最大的一起 DeFi 安全事件。
協議應對與風險擴散
約 46 分鐘後,KelpDAO 作出響應,緊急暫停多簽,並凍結包括 LRT 存款池、提現合約、預言機及 rsETH 代幣在內的核心組件。Kelp 表示已發現涉及 rsETH 的異常跨鏈活動,並已暫停主網及多個 L2 上的相關合約,同時正與 LayerZero 等共同進行根因分析。
攻擊者隨後發起的兩次後續攻擊均失敗,暫停措施有效阻止了進一步資金流失。其試圖額外轉出 40,000 枚 rsETH(約 1 億美元),若成功,總損失或將擴大至約 3.91 億美元。
借貸市場受創與資產撤離
攻擊者將盜取的大部分 rsETH 存入 Aave 作為抵押借出 ETH,少部分被直接出售換成 ETH。黑客透過抵押與拋售共獲取 106,466 枚 ETH(約 2.5 億美元)。
由於避險考量,超過 54 億美元資產在黑客透過 Aave 抵押非法鑄造的 rsETH 借走大量 ETH 後,從 Aave 緊急撤離。其中包括 Justin Sun 取回 65,584 枚 ETH(1.54 億美元)。Aave 上 ETH 的資金利用率一度升至 100%。
專家評論與市場影響
Curve 創始人 Michael Egorov 發文表示:「本次事件正是當前普遍採用的「非隔離借貸」模式所帶來的風險。該模式具備良好的擴展性,但風險更高,因此風險管理至關重要。Aave v4 的 hub and spoke(中心—輻射)模型,或許是邁向半隔離、更安全方向的一步。」
加密 KOL benmo.eth 發文表示,KelpDAO 的 rsETH 被盜事件影響深遠,Aave 的安全「金身」被打破,統一型借貸市場的風險正重新進入巨鯨審視範圍。Aave V4 與模組化借貸或將成為未來趨勢,相關轉型進程可能加速。DeFi 將停止擴展路線,轉向更保守的安全模式,同時需進一步應對 Anthropic Mythos 等 AI 驅動安全威脅。
Bankless 聯合創始人 Ryan Sean Adams 發文表示:「加密遭黑客攻擊的發生頻率已達到歷史最高水平。我認為這與 AI 有關。AI 正在賦予黑客「黑暗的超能力」。防禦必須盡快跟上,我們已經沒有時間了。」