去中心化金融系統 #KelpDAOBridgeHacked DeFi( 今年最大壓力測試於4月18日星期六，UTC時間17:35，Kelp DAO橋梁遭攻擊。由於一則偽造的驗證訊息，Kelp DAO支持的Zero層橋被欺騙，並在一個交易鏈中提取了116,500個rsETH——約)一百萬——。此金額約佔總發行量630,000的18%，事件發生在46分鐘內。Kelp團隊於UTC時間18:21使用多重緊急簽名停止了合約，但到那時，已經有大量資金轉移到與Tornado Cash相關的地址中的ETH。

🧐攻擊技術
LayerZero訊息層驗證偽造指令，顯示來自另一條鏈，導致橋的lzReceive功能被觸發，允許未授權的鑄幣操作。
攻擊者利用一個驗證漏洞，將116,500個rsETH鑄入自己的錢包，並試圖在另外兩次嘗試中竊取40,000個rsETH；幸運的是，Kelp的緊急停止措施阻止了這兩次企圖。
🧐資金流動與槓桿利用
約$292 一百萬被盜的rsETH迅速轉換為ETH。鏈上數據顯示，攻擊者借入了106,467 ETH，約2.5億美元$250 。
這些資金用作在Aave V3/V4、Compound V3和Euler的抵押品，導致產生超過(一百萬的壞帳。
🧐受影響的資產與鏈
空白橋支持超過20條鏈上的rsETH抵押品，包括Base、Arbitrum、Linea、Blast和Scroll。現在，Layer 2網絡上的rsETH持有者面臨抵押品不足的風險。
Kelp已在主網和Layer 2停止合約，並表示用戶資金未被直接盜取，但由於儲備不足，購買操作再次被暫停。
🧐市場反應
Aave平台在V3和V4版本中數小時內凍結了rsETH市場。SparkLend和Fluid也採取了相同措施。Lido Finance停止了其earnETH產品的新增存款。Ethena平台將LayerZero OFT橋暫時關閉6小時作為預防措施。
消息傳出後，AAVE代幣價值下跌約10%。rsETH的外流增加，推動整體鎖倉價值（TVL）下降，進一步加劇DeFi中的“避險潮”。
🧐系統背景
這是2026年DeFi最大的一次攻擊，超越了4月1日的Drift協議攻擊，損失約2.85億美元)。2026年第一季度的攻擊和詐騙損失已達數百萬美元$236 。
在社交媒體上，事件強化了“再抵押+橋梁=薄弱環節”的說法。西班牙語和葡萄牙語社群則以比特幣的穩定性作為DeFi脆弱性的反例。
🤔結論與展望
KelpDAO的攻擊再次證明，成長速度超過安全性。短期內：
rsETH的流動性將持續收縮，增加Layer 2鏈上抵押品折扣的風險。
Aave和其他借貸協議將被迫配置儲備或披露壞帳補償計劃。
審計公司和LayerZero將發布緊急更新，改善訊息驗證邏輯。
長期來看，行業將推行多重簽名驗證、實時異常監控和跨鏈橋的保險基金等標準。2026年18天內三次超過百萬美元的攻擊，顯示機構資金可能轉向更受監管的領域，如比特幣ETF，直到安全架構成熟。
投資者的教訓很明確：收益不是重點，重點在於如何以及在哪裡驗證抵押品，這將是關鍵。Kelp DAO橋梁攻擊成為“高使用率=高風險”在DeFi中最具體的例證。