#KelpDAOBridgeHacked ✨去中心化金融系统(DeFi)今年最大压力测试发生在4月18日星期六，格林威治标准时间17:35，Kelp DAO桥发生攻击。由Kelp DAO支持的Zero层桥收到虚假验证消息，被欺骗后，在一次链上交易中提取了116,500个rsETH——约$292 百万——。此金额占rsETH总供应量630,000的约18%，事件发生在46分钟内。Kelp团队在UTC时间18:21使用多重紧急签名暂停了合约，但到那时，大部分资金已通过与Tornado Cash相关的地址转移到ETH。

🧐攻击技术
LayerZero消息层验证出现虚假转账指令，似乎来自另一条链。这导致触发桥的lzReceive功能，允许未授权的铸币操作。
攻击者利用单一验证漏洞，将116,500个rsETH铸入其钱包，然后试图在另外两次尝试中窃取40,000个rsETH；这两次尝试被Kelp的紧急停止机制阻止。
🧐资金流动与杠杆利用
被盗的约$250 百万rsETH迅速转换为ETH。链上数据显示，攻击者借入了106,467 ETH(约2.5亿美元)。
这些资金作为抵押在Aave V3/V4、Compound V3和Euler中，导致产生超过$236 百万的坏账。
🧐受影响的资产与链
空白桥支持超过20条链上的rsETH储备，包括Base、Arbitrum、Linea、Blast和Scroll。现在，Layer 2网络上的rsETH持有者面临担保不足的风险。
Kelp已在主网和Layer 2暂停合约，表示用户资金未被直接盗取，但由于储备不足，购买操作再次被暂停。
🧐市场反应
Aave平台在V3和V4版本中冻结了rsETH市场数小时。SparkLend和Fluid也采取了相同措施。Lido Finance暂停了其earnETH产品的新存款。Ethena平台将LayerZero OFT桥关闭6小时作为预防措施。
消息公布后，AAVE代币价值下跌约10%。rsETH的外流增加了总锁仓价值(TVL)，推动DeFi中的“避险”趋势。
🧐系统背景
这是2026年DeFi最大的一次入侵，超过了4月1日发生的Drift协议攻击，损失约19283746565748392亿美元(。2026年前季度的黑客和欺诈事件已累计损失)百万。
在社交媒体上，事件强化了“再抵押+桥=薄弱环节”的说法。西班牙语和葡萄牙语社区在同期分享比特币稳定性作为DeFi脆弱性的反例。
🤔结论与展望
KelpDAO的攻击再次证明增长快于安全。从短期来看：
rsETH的流动性将持续收缩，增加Layer 2网络中抵押品折扣的风险。
Aave和其他借贷协议将不得不调整储备或披露坏账补偿计划。
审计公司和LayerZero将发布紧急更新，改善消息验证逻辑。
从长远来看，行业将引入多重签名验证、实时异常监控和跨链桥的保险基金等标准。2026年18天内发生的三起超过$482 百万的重大入侵表明，机构资本可能会转向更受监管的领域，如比特币ETF，直到安全架构成熟。
对投资者的明确教训是：收益不是关键，关键在于担保的验证方式和地点，这将决定成败。Kelp DAO桥的攻击成为DeFi中“高使用率=高风险”关系的最直观例证。