KelpDAO 漏洞引發 DeFi 信任危機：TVL 縮水 140 億

2026 年 4 月 18 日，KelpDAO 基於 LayerZero 的 rsETH 跨鏈橋遭到攻擊，攻擊者在約 46 分鐘內盜取 116,500 枚 rsETH，損失約 2.92 億美元，成為 2026 年迄今最大單筆 DeFi 安全事件。此次攻擊的本質並非傳統智能合約程式碼漏洞，而是跨鏈信任模型的系統性失效。KelpDAO 採用了 LayerZero OFT 橋接方案，其安全依賴 DVN 去中心化驗證網路。然而 KelpDAO 配置了 1/1 DVN 單驗證節點架構——僅需一個節點簽名即可確認跨鏈訊息為“真實”，而 LayerZero 官方文件預設推薦的是 2/2 多簽配置。攻擊者透過社工手段攻破該單節點，偽造跨鏈訊息實現“憑空鑄幣”，將無實際資產支撐的 rsETH 在以太坊主網上釋放。

LayerZero 在事後調查中初步將攻擊歸因於朝鮮 Lazarus Group 的 TraderTraitor 分支，指出攻擊者透過污染 DVN 下游 RPC 節點並配合 DDoS 攻擊誘導故障轉移，使驗證節點確認“交易未發生”後偽造訊息。這一技術路徑揭示了一個更深層的結構問題：當跨鏈橋的安全完全依賴單一驗證節點時，該節點便成為整個系統的阿喀琉斯之踵。

被盜 rsETH 如何傳導至 Aave 形成巨額呆帳

攻擊者將憑空鑄造的 rsETH 作為抵押品存入 Aave 等借貸平台並借出真實資產。由於這些 rsETH 缺乏合法的資產背書，以此借款相當於向貸方製造了潛在的呆帳敞口。據鏈上分析，Aave 各 L2 上以預言機現價計算約有 3.59 億美元 rsETH 作為抵押品。若這些倉位以最高槓桿水平運作，理論呆帳規模可達約 3.41 億美元，且完全無法獲得 Umbrella 協議覆蓋。

這不是 Aave 智能合約的程式碼缺陷，而是“錯誤信任抵押資產”引發的系統性連鎖反應。攻擊者將無抵押背書的代幣注入借貸池後，所有依賴該池資金的用戶都暴露於潛在的償付風險之中。DeFi 的可組合性在此扮演了雙刃劍：它賦予了協議間無縫銜接的資本效率，也意味著一個環節的信任崩塌可以瞬間傳導至整個生態。

資金恐慌如何觸發 140 億美元 TVL 驟降

恐慌迅速轉化為大規模撤資。據 DefiLlama 資料，過去 48 小時內 DeFi 總 TVL 從 994.97 億美元驟降至 862.86 億美元，蒸發約 132 億美元；Aave 遭用戶撤資高達 84.5 億美元，TVL 下滑至 179.47 億美元。截止 4 月 20 日，DeFi TVL 進一步回落至約 824 億美元，較 2026 年初約 1,100 億美元的水準下跌約 25%。

撤資潮集中在借貸、流動性再質押及收益型協議，Euler、Sentora 等平台的 TVL 均出現雙位數百分比流失。然而有趣的是，代幣價格反應相對溫和：AAVE 過去 24 小時僅下跌約 2.5%，UNI 和 LINK 跌幅不足 1%。這種資金面與價格面的背離說明，當前市場尚未對該事件的長期影響充分定價——撤資反映的是流動性恐慌，而代幣持有者可能仍在等待呆帳處置方案的明確落地。

Arbitrum 安全委員會凍結 7,100 萬美元釋出了什麼信號

2026 年 4 月 21 日，Arbitrum 安全委員會採取緊急行動，將攻擊者持有的 30,766 枚 ETH 轉移至治理控制的中介錢包並凍結，價值約 7,100 萬美元，追回約佔被盜總額的四分之一。該行動透過 ArbitrumUnsignedTxType 系統級交易執行，這是一種無法由普通 EOA 簽署、只能由安全委員會透過 ArbOS 注入的技術方案。

此次干預釋出了兩個重要信號。其一，L2 治理層的緊急干預能力在實踐中得到驗證，這在 Layer 2 擴容路線圖中具有里程碑意義。其二，這類對用戶資金的治理層干預在鏈上生態中極為罕見且存在爭議，因為它們在一個原本無需許可的網路中引入了裁量性控制。Arbitrum 強調此次行動基於執法機關對攻擊者身份的確認資訊，且未影響其他普通用戶或應用。然而這一先例也引發了一個更深層的追問：當“無需許可”遭遇“國家級攻擊者”時，去中心化網路的治理邊界應當劃在哪裡。

非隔離借貸模式的隱患為何被 Curve 創始人公開警示

Curve Finance 創始人 Michael Egorov 在事件發生後公開發文指出，KelpDAO 遭襲造成的呆帳問題凸顯了現行“非隔離借貸”模式的潛在風險。他表示該模式雖具備高擴展性，但風險水平較高，需配合更嚴格的資產管理框架。Egorov 進一步強調，近期大量本可避免的安全事件多數源於中心化單點故障，問題應事先預防而非事後補救，並呼籲以太坊基金會與 Solana 基金會等生態機構牽頭建立統一的 DeFi 安全標準。

Egorov 特別指出，全隔離或混合借貸模式可作為替代方案，並認為 Aave v4 擬推出的“hub and spoke”架構或推動借貸模型朝更高安全性方向演進。這一判斷精準地切中了 DeFi 長期存在的核心矛盾：資本效率與風險隔離之間的取捨。非隔離模式讓資金在協議間自由流動，提升了整體效率，但也使得單一資產的信任危機能夠迅速蔓延至整個借貸網路。Egorov 的批評本質上是在追問：DeFi 是否已經到了必須犧牲部分效率來換取系統穩定性的臨界點。

Aave 呆帳處置的三種路徑及其結構性代價

DeFiLlama 創始人 0xngmi 梳理了 KelpDAO 可能採取的三條處置路線，每條路徑都伴隨著清晰的代價權衡。

方案一為損失社會化，將所有 rsETH 持有人餘額按比例統一下調 18.5% 以吸收損失。Aave 全網的 rsETH 抵押品若按此方案處理，估算產生約 2.16 億美元呆帳，其中 Umbrella 協議覆蓋 5500 萬美元、Aave 金庫承擔 8500 萬美元，仍有約 7600 萬美元缺口。這一方案的邏輯是將損失分散給所有用戶，代價是動搖用戶對協議資產安全性的根本信任。

方案二僅保障以太坊主網的 rsETH，將 L2 上的 rsETH 直接視為無價值。Aave 各 L2 上的 rsETH 抵押品按目前價格計算約 3.59 億美元，若按最大槓桿水平滿倉運作，呆帳可能達約 3.41 億美元，且不在 Umbrella 覆蓋範圍內。Aave 屆時只能依靠金庫或借貸嘗試挽救部分市場，並可能放棄受創最重的鏈——Arbitrum、Mantle 及 Base，導致相關市場崩潰。這一方案可降低對 Aave 主網的直接衝擊，代價是重挫 L2 生態的整體聲譽。

方案三按攻擊前快照恢復資產分配，僅向事發時持有 rsETH 的地址全額退款，後續買入或轉手者自行承擔損失。該方案在 Umbrella 覆蓋後仍餘約 9100 萬美元損失，但問題在於攻擊後資金流轉頻繁，DeFi 協議本質是流動性池，技術上幾乎無法將不同批次的存入資金清晰區分，落地難度極高。

2026 年 4 月為何成為 DeFi 安全的分水嶺

KelpDAO 事件並非孤立的安全事故。2026 年 4 月僅 20 天內，加密協議因黑客攻擊損失已超過 6.06 億美元，成為自 2025 年 2 月以來最嚴峻的月度損失紀錄。4 月 1 日，Solana 上最大的永續合約交易所 Drift Protocol 在 12 分鐘內被盜 2.85 億美元，KelpDAO 與 Drift 兩起事件合計佔當月損失的約 95%。

慢霧 2025 年度安全報告的資料提供了更長週期的參照：2025 年全年共發生 200 起安全事件，造成損失約 29.35 億美元，儘管事件數量較 2024 年下降 51%，但損失金額同比上升約 46%。DeFi 項目是最常遭攻擊的賽道，全年 126 起事件佔比約 63%，損失約 6.49 億美元。

將這些資料串聯起來，一個清晰的趨勢浮現：攻擊者的目標正在從“數量”轉向“質量”——更少的事故、更大的單筆損失、更複雜的攻擊手法。KelpDAO 事件中，攻擊者利用的不是程式碼漏洞，而是配置層面的信任假設失誤，這種攻擊維度的升級意味著傳統安全審計的覆蓋範圍已經不足以應對當前的威脅格局。

總結

KelpDAO 跨鏈漏洞事件是 2026 年 DeFi 安全領域最具標誌性的衝擊事件。它揭示了跨鏈信任模型中單點驗證架構的根本脆弱性，展示了資產危機如何在 DeFi 可組合生態中迅速傳導，並透過 Aave 的呆帳敞口將風險壓力轉移至整個借貸市場。Arbitrum 安全委員會的緊急干預為被盜資金的追回提供了有限路徑，卻也引發了關於去中心化治理邊界的深層討論。

Egorov 對非隔離借貸模式的警示和對產業安全標準的呼籲，反映出 DeFi 正處於一個結構性的反思時刻。資本效率與系統安全之間的張力從未如此尖銳——過去幾年支撐 DeFi 高速成長的“可組合樂高”邏輯，正在經受信任崩塌後的壓力測試。2026 年 4 月的高頻安全事故已構成一個明確信號：DeFi 若無法在協議層面建立起系統性的風險隔離機制，每一次“本可避免”的漏洞都將繼續侵蝕行業長期發展的信任根基。

常見問題（FAQ）

問：KelpDAO 攻擊的直接損失金額是多少？

攻擊者盜取了 116,500 枚 rsETH，按當時市場價格計算損失約為 2.92 億美元。Arbitrum 安全委員會已凍結約 7,100 萬美元的被盜資產，約佔總額的四分之一。

問：Aave 目前面臨的最大呆帳風險有多大？

根據不同的呆帳處置方案，Aave 面臨的呆帳規模在 1.237 億美元至 3.41 億美元之間。若採用損失僅限 L2 的方案，呆帳可達約 3.41 億美元，且不在 Umbrella 覆蓋範圍內。

問：此次攻擊與其他 DeFi 安全事件有何不同？

攻擊根源並非智能合約程式碼漏洞，而是跨鏈橋的配置層面問題——KelpDAO 採用了 1/1 單節點 DVN 驗證配置，使得單一驗證節點的被攻破直接導致整個跨鏈系統的信任崩塌。

問：Curve 創始人 Egorov 提出了哪些具體建議？

Egorov 呼籲建立統一的 DeFi 安全標準，建議降低系統中的單點故障數量，在必須使用集中式解決方案時設計能夠分散信任的機制，並倡導由以太坊基金會與 Solana 基金會等生態機構牽頭制定安全設計原則與驗證標準。

問：DeFi TVL 縮水的主要驅動力是什麼？

驅動力來自雙重因素：其一是協議因風險控制而主動凍結受影響市場，其二是恐慌用戶的大規模主動撤資。兩者疊加導致借貸、再質押和收益型協議出現雙位數百分比的資金流失，整體 TVL 從年初約 1,100 億美元降至約 824 億美元。

問：此次事件對 DeFi 行業的長期影響是什麼？

事件暴露出非隔離借貸模式與跨鏈信任架構的結構性缺陷，可能推動行業從追求極致資本效率向重視系統性風險隔離的方向演進。Egorov 提到的 Aave v4“hub and spoke”架構以及行業統一安全標準的討論，或將成為後續發展的關鍵觀察點。