首页
手游
资讯
专题
首页 > 教程攻略 > web3.0 >Kelp DAO被盗2.92亿美元,Aave承接巨额坏账

Kelp DAO被盗2.92亿美元,Aave承接巨额坏账

来源:互联网 时间:2026-06-26 18:36:33

DeFi 的安全问题,又一次以近乎残酷的方式摆在所有人面前。

北京时间 4 月 19 日凌晨 1:35 左右,链上数据记录下了一起惊天大案:第二大流动性质押协议

Kelp DAO

,其基于 LayerZero 的 rsETH 桥接合约疑似遭到黑客攻击,损失高达

116,500 个 rsETH,价值约 2.92 亿美元

回头看这笔攻击的踪迹,手法相当老练。攻击者地址早在事发前约 10 小时,就从混币协议 Tornado Cash 收到了 1 ETH 的启动资金。随后,它精确调用了 LayerZero EndpointV2 合约上的 lzReceive 函数,这一下直接触发了 Kelp 的桥接合约,将大量 rsETH 转移到了另一个攻击者地址。

DeFi再次被盗2.92亿美元,这下连Aa ve都不安全了?_图2

大约两个半小时后,Kelp DAO 官方在 X(原 Twitter)上确认了攻击,并迅速暂停了主网及多个 Layer2 上的 rsETH 合约,同时与 LayerZero、Unichain 的安全专家合作调查。

DeFi再次被盗2.92亿美元,这下连Aa ve都不安全了?_图3

事件发生后,各路安全机构迅速介入分析。其中,D2 Finance 的结论被社区多次引用——LayerZero Scan 将该消息来源的对端标记为 Kelp DAO,这意味着消息来自 Kelp 自身合法部署的对端合约,且该路径此前已有 308 条消息的 nonce 记录。所以,

这次攻击的根本原因,直指“源链私钥被攻破”

更令人不安的是,TinyHumans AI 的开发者 Steven Enamakel 补充了一个细节:Kelp DAO 与 LayerZero 的这套桥接合约,竟然只由一个 1/1 的验证者集合(DVN)来保障。换句话说,只要验证者发出一笔错误交易,整个系统就形同虚设。

黑客借路 Aa ve 出逃,疑似已造成坏账

得手之后,黑客面临的最大问题是:rsETH 本身的交易流动性极其有限,怎么变&现?答案是——借路 Aa ve 等借贷协议。

PeckShield Alert 监测显示,截至凌晨 4:30,黑客地址已经将有问题的 rsETH 存入 Aa ve V3、Compound V3、Euler 等主流借贷协议,并借出了大量 WETH。结果呢?债务总额超过 2.36 亿美元——其中仅 Aa ve 一家平台就背负了 1.96 亿美元的债务,Compound 3940 万美元,Euler 仅 84 万美元。

黑客借路 Aa ve 出逃,疑似已造成坏账

Aa ve 团队的反应相当迅速,随即冻结了 Aa ve V3 和 V4 上的 rsETH 市场,并明确表态:

合约本身并未被攻击

,冻结是为了防止新的存款和抵押借款。

不过,真正让市场紧张的是 Aa ve 后一份声明中的这句话:

“如果该协议因本次事件而累积坏账,我们将探索弥补赤字的途径。”

截至发文,

事件造成的坏账具体数额依然是个未知数

。但各方已经开始估算。Aa ve 的直接竞争对手,Spark 的战略主管 monetsupply.eth 判断:如果 rsETH 出现 19% 的折价(被盗数额占其总供应量的 19%),由于存在高杠杆的循环借贷,Aa ve 可能会产生超过 1 亿美元的坏账。

黑客借路 Aa ve 出逃,疑似已造成坏账_图2

但 Aa ve 生态内代表性治理团队 Aa ve Chan Initiative(ACI)的创始人 Marc Zeller(已宣布因治理分歧将于 7 月退出 Aa ve)却给出了不同的看法。他曾在事件初期建议用户从 Aa ve V3 中尽快取出 WETH,并确认 USDC 和 USDT 市场不受影响。在回应“坏账可能达到上亿规模”的猜测时,他的回答是:

“远小于该数字。”

黑客借路 Aa ve 出逃,疑似已造成坏账_图3

不过,Marc Zeller 也提醒,现在是时候在真正的生产环境中检验 Umbrella 了。简单来说,Umbrella 是 Aa ve 的自动安全模块——一个应对坏账的资金池。用户可以向其内存入资产以获取较高激励,但当协议出现坏账时,它也得承担相应亏损。

Aa ve 的协议数据显示,

目前 Umbrella 内共有价值约 5000 万美元的 WETH 可用于应对潜在坏账

,但这笔钱够不够填窟窿?答案还不确定。

Andre Cronje 则从另一个角度给出了判断:Aa ve 并无补贴用户损失的机制,否则可能引发挤兑。当前 Aa ve 约持有 70 亿美元 ETH,提取规模约 1 亿美元,因此整体影响有限。

市场反应很直接。AA VE 短线大跌近 10%,截至发文暂报 104.6 USDT。

四月的又一场亿级安全事件

这并非本月发生的第一起巨额安全事件。就在 4 月 1 日,Solana 生态衍生品交易协议 Drift Protocol 刚遭遇攻击,损失高达 2.8 亿美元。事后,Drift Protocol 直接将锅甩给了“朝鲜黑客”,而 Tether 等机构承诺注资 1.475 亿美元用于用户赔付,至少让用户看到了索赔的希望。

但仅仅过去十几天,又一起规模更大的黑客事件爆发。这一次,又该如何收场?

DeFi 还有安全的地方吗?

DeFi 的安全问题正愈演愈烈。一边是持续不断的黑客事件,另一边是 Mythos 等 AI 工具带来的持续性安全威胁。对于用户来说,此前的应对逻辑是:将资金向审计充分、品牌信誉较好的头部协议聚拢。但现如今,

连 Aa ve 这种散户潜意识里极难出问题的顶级协议也间接受到了波及,用户还能把资金挪去哪呢?

站在当下的防御格局下,确实不太建议用户将大额资金长期留在链上。如果确实需要部署仓位,务必做好跨协议、跨链的分散与隔离。

相关阅读

相关下载