#KelpDAOBridgeHacked 1. 技术“伪造消息”漏洞

此次攻击是利用可组合性的一次大师级操作。漏洞存在于桥接基础设施(利用LayerZero)连接KelpDAO的rsETH跨多个链。
伪造：攻击者制作了一个恶意的跨链载荷，绕过了验证层。桥接错误地“证明”了一个从未在源链发生的大额存款的合法性。
铸币：这使得攻击者在目标链上凭空铸造了116,500个rsETH。
“循环”抽取：攻击者没有直接出售rsETH(这会立即崩盘价格)，而是将伪造的rsETH作为抵押存入Aave V3、Compound和Euler，然后借出真实的ETH和稳定币。
坏账：由于抵押品本质上是“无价值的”(无担保)，因此借贷协议目前面临超过2.3亿美元的坏账，因为没有真正的基础资产可以清算。
2. 市场影响与传染
市场的反应反映出对“系统性DeFi失败”的担忧，而不仅仅是单一协议的损失。
3. 当前恢复状况
截至星期一下午，4月20日：
协议状态：KelpDAO已成功暂停主网和L2上的所有rsETH合约(包括Unichain)。
借贷上限：Aave和Compound已冻结rsETH市场。用户无法存入或借出，但现有仓位目前“被困”，直到达成解决方案。
调查：安全公司Cyvers和PeckShield正与LayerZero团队合作追踪资金，目前资金正通过隐私混合器流转。
4. 2026年的关键启示
此次事件标志着2026年最大规模的DeFi漏洞，并突出了三大关键失败：
桥接脆弱性：即使是“全链”解决方案也只强大到其最薄弱的验证漏洞。
LRT风险：流动重质押代币(LRTs)创造了“递归”风险。当一个资产被用作抵押五次时，一次$300M 黑客攻击可能威胁到超过50亿美元的总流动性。
“速度”问题：仅用46分钟就耗尽了系统。传统的安全“暂停”机制目前太慢，无法阻止由AI增强或高度自动化的攻击脚本。