去中心化金融（DeFi）领域在昨日发生重大安全事件，流动性再质押协议Kelp DAO 旗下的跨链桥遭黑客入侵，导致其原生代币rsETH 被大量异常铸造与转移，初步估计损失金额高达2.92 至2.94 亿美元，目前多个DeFi 平台都有不同程度的损失，当中包括最大DeFi 平台Aave，成为2026 年迄今规模最大的DeFi 安全事件。

事件经过：跨链讯息伪造导致大额失窃

根据链上数据与分析，这起攻击事件发生于4 月19 日凌晨1 点35 分（UTC+8），黑客锁定了Kelp DAO 基于LayerZero 构建的OFT（全链可替代代币）跨链桥，透过伪造跨链讯息，成功欺骗系统将116,500 枚rsETH（约占总流通量的18%）发送至黑客控制的钱包地址。

调查显示，攻击者预先透过Tornado Cash 进行资金筹备，并在埋伏约10 小时后发动攻击，攻击者随后利用LayerZero 的 lzReceive 函数触发漏洞。值得注意的是，黑客后续曾尝试再次窃取价值约2 亿美元的80,000 枚rsETH，但因Kelp DAO 紧急暂停合约而未遂。

影响扩散：DeFi 借贷市场遭受连带冲击

得手后的黑客迅速将窃取的rsETH 作为抵押品，存入Aave V3/V4 以及SparkLend 、 Fluid 等主流借贷协议，并借出大量的WETH/ETH，当rsETH 被标记为受损资产后，上述借贷平台随即面临严重的坏帐风险。

Aave 在事件发生后立即采取行动，冻结了V3 与V4 上的rsETH 市场，暂停相关存款与借款功能，尽管Aave 本身协议未遭黑，但可能会产生巨额坏帐，此次事件显示了「DeFi 乐高积木」式的组合风险：单一协议的跨链桥漏洞，迅速引发了跨平台的连锁反应。

Kelp DAO 紧急处置与现状

Kelp DAO 在侦测到异常活动后，于46 分钟内启动紧急机制，暂停了以太坊主网及多个L2网络上的rsETH 合约，并冻结了核心协议功能。 Kelp DAO 目前已联合LayerZero 、 Unichain 、安全审计公司及外部安全专家进行深入调查，并发布官方声明呼吁用户仅透过官方管道获取最新进展。

截至4 月19 日下午的最新状况：

合约状态： 相关合约仍处于暂停状态。

资产流向： 据链上追踪，黑客已将约2.5 亿美元的窃取代币兑换为ETH 。

技术分析： 此事件被归类为跨链桥与讯息层漏洞（LayerZero OFT），而非Kelp DAO 核心质押合约被直接攻破。目前主网对应的ETH 抵押品看似安全，但跨链流动性已严重受创，导致多链上的封装以太币流动性陷入僵局。

建议行动：由于事件发生在假日，多个DeFi 平台的对应速度都明显较慢，而且随着大额质押抽离和兑换资产，有机会导致更多DeFi 平台暂停提币兑换，建议资金质押在DeFi 平台的用户尽快将资金撤离到自托管钱包。

安全研究人员如ZachXBT与PeckShield等正持续监控黑客地址，目前调查工作仍在进行中，受影响的借贷协议与用户损失赔偿方案尚未出炉，投资者应密切关注Kelp DAO 官方帐号发布的后续公告。

本文链接地址：https://www.wwsww.cn/DeFi/38320.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。