KelpDAO уязвимость вызвала кризис доверия в DeFi: TVL сократился на 14 миллиардов

2026 年 4 月 18 日，KelpDAO 基于 LayerZero 的 rsETH 跨链桥遭到攻击，攻击者在约 46 分钟内盗取 116,500 枚 rsETH，损失约 2.92 亿美元，成为 2026 年迄今最大单笔 DeFi 安全事件。此次攻击的本质并非传统智能合约代码漏洞，而是跨链信任模型的系统性失效。KelpDAO 采用了 LayerZero OFT 桥接方案，其安全依赖 DVN 去中心化验证网络。然而 KelpDAO 配置了 1/1 DVN 单验证节点架构——仅需一个节点签名即可确认跨链消息为“真实”，而 LayerZero 官方文档默认推荐的是 2/2 多签配置。攻击者通过社工手段攻破该单节点，伪造跨链消息实现“凭空铸币”，将无实际资产支撑的 rsETH 在以太坊主网上释放。

LayerZero 在事后调查中初步将攻击归因于朝鲜 Lazarus Group 的 TraderTraitor 分支，指出攻击者通过污染 DVN 下游 RPC 节点并配合 DDoS 攻击诱导故障转移，使验证节点确认“交易未发生”后伪造消息。这一技术路径揭示了一个更深层的结构问题：当跨链桥的安全完全依赖单一验证节点时，该节点便成为整个系统的阿喀琉斯之踵。

被盗 rsETH 如何传导至 Aave 形成巨额坏账

攻击者将凭空铸造的 rsETH 作为抵押品存入 Aave 等借贷平台并借出真实资产。由于这些 rsETH 缺乏合法的资产背书，以此借款相当于向贷方制造了潜在的坏账敞口。据链上分析，Aave 各 L2 上以预言机现价计算约有 3.59 亿美元 rsETH 作为抵押品。若这些仓位以最高杠杆水平运作，理论坏账规模可达约 3.41 亿美元，且完全无法获得 Umbrella 协议覆盖。

这不是 Aave 智能合约的代码缺陷，而是“错误信任抵押资产”引发的系统性连锁反应。攻击者将无抵押背书的代币注入借贷池后，所有依赖该池资金的用户都暴露于潜在的偿付风险之中。DeFi 的可组合性在此扮演了双刃剑：它赋予了协议间无缝衔接的资本效率，也意味着一个环节的信任崩塌可以瞬间传导至整个生态。

资金恐慌如何触发 140 亿美元 TVL 骤降

恐慌迅速转化为大规模撤资。据 DefiLlama 数据，过去 48 小时内 DeFi 总 TVL 从 994.97 亿美元骤降至 862.86 亿美元，蒸发约 132 亿美元；Aave 遭用户撤资高达 84.5 亿美元，TVL 下滑至 179.47 亿美元。截至 4 月 20 日，DeFi TVL 进一步回落至约 824 亿美元，较 2026 年初约 1,100 亿美元的水平下跌约 25%。

撤资潮集中在借贷、流动性再质押及收益型协议，Euler、Sentora 等平台的 TVL 均出现双位数百分比流失。然而有趣的是，代币价格反应相对温和：AAVE 过去 24 小时仅下跌约 2.5%，UNI 和 LINK 跌幅不足 1%。这种资金面与价格面的背离说明，当前市场尚未对该事件的长期影响充分定价——撤资反映的是流动性恐慌，而代币持有者可能仍在等待坏账处置方案的明确落地。

Arbitrum 安全委员会冻结 7,100 万美元释放了什么信号

2026 年 4 月 21 日，Arbitrum 安全委员会采取紧急行动，将攻击者持有的 30,766 枚 ETH 转移至治理控制的中介钱包并冻结，价值约 7,100 万美元，追回约占被盗总额的四分之一。该行动通过 ArbitrumUnsignedTxType 系统级交易执行，这是一种无法由普通 EOA 签署、只能由安全委员会通过 ArbOS 注入的技术方案。

此次干预释放了两个重要信号。其一，L2 治理层的紧急干预能力在实践中得到验证，这在 Layer 2 扩容路线图中具有里程碑意义。其二，这类对用户资金的治理层干预在链上生态中极为罕见且存在争议，因为它们在一个原本无需许可的网络中引入了裁量性控制。Arbitrum 强调此次行动基于执法机构对攻击者身份的确认信息，且未影响其他普通用户或应用。然而这一先例也引发了一个更深层的追问：当“无需许可”遭遇“国家级攻击者”时，去中心化网络的治理边界应当划在哪里。

非隔离借贷模式的隐患为何被 Curve 创始人公开警示

Curve Finance 创始人 Michael Egorov 在事件发生后公开发文指出，KelpDAO 遇袭造成的坏账问题凸显了现行“非隔离借贷”模式的潜在风险。他表示该模式虽具备高扩展性，但风险水平较高，需配合更严格的资产管理框架。Egorov 进一步强调，近期大量本可避免的安全事件多数源于中心化单点故障，问题应事先预防而非事后补救，并呼吁以太坊基金会与 Solana 基金会等生态机构牵头建立统一的 DeFi 安全标准。

Egorov 特别指出，全隔离或混合借贷模式可作为替代方案，并认为 Aave v4 拟推出的“hub and spoke”架构或推动借贷模型朝更高安全性方向演进。这一判断精准地切中了 DeFi 长期存在的核心矛盾：资本效率与风险隔离之间的取舍。非隔离模式让资金在协议间自由流动，提升了整体效率，但也使得单一资产的信任危机能够迅速蔓延至整个借贷网络。Egorov 的批评本质上是在追问：DeFi 是否已经到了必须牺牲部分效率来换取系统稳定性的临界点。

Aave 坏账处置的三种路径及其结构性代价

DeFiLlama 创始人 0xngmi 梳理了 KelpDAO 可能采取的三条处置路线，每条路径都伴随着清晰的代价权衡。

方案一为损失社会化，将所有 rsETH 持有人余额按比例统一下调 18.5% 以吸收损失。Aave 全网的 rsETH 抵押品若按此方案处理，估算产生约 2.16 亿美元坏账，其中 Umbrella 协议覆盖 5,500 万美元、Aave 金库承担 8,500 万美元，仍有约 7,600 万美元缺口。这一方案的逻辑是将损失分散给所有用户，代价是动摇用户对协议资产安全性的根本信任。

方案二仅保障以太坊主网的 rsETH，将 L2 上的 rsETH 直接视为无价值。Aave 各 L2 上的 rsETH 抵押品按当前价格计算约 3.59 亿美元，若按最大杠杆水平满仓运作，坏账可能达约 3.41 亿美元，且不在 Umbrella 覆盖范围内。Aave 届时只能依靠金库或借贷尝试挽救部分市场，并可能放弃受创最重的链——Arbitrum、Mantle 及 Base，导致相关市场崩溃。这一方案可降低对 Aave 主网的直接冲击，代价是重挫 L2 生态的整体声誉。

方案三按攻击前快照恢复资产分配，仅向事发时持有 rsETH 的地址全额退款，后续买入或转手者自行承担损失。该方案在 Umbrella 覆盖后仍余约 9,100 万美元损失，但问题在于攻击后资金流转频繁，DeFi 协议本质是流动性池，技术上几乎无法将不同批次的存入资金清晰区分，落地难度极高。

2026 年 4 月为何成为 DeFi 安全的分水岭

KelpDAO 事件并非孤立的安全事故。2026 年 4 月仅 20 天内，加密协议因黑客攻击损失已超过 6.06 亿美元，成为自 2025 年 2 月以来最严峻的月度损失纪录。4 月 1 日，Solana 上最大的永续合约交易所 Drift Protocol 在 12 分钟内被盜 2.85 亿美元，KelpDAO 与 Drift 两起事件合计占当月损失的约 95%。

慢雾 2025 年度安全报告的数据提供了更长周期的参照：2025 年全年共发生 200 起安全事件，造成损失约 29.35 亿美元，尽管事件数量较 2024 年下降 51%，但损失金额同比上升约 46%。DeFi 项目是最常遭攻击的赛道，全年 126 起事件占比约 63%，损失约 6.49 亿美元。

将这些数据串联起来，一个清晰的趋势浮现：攻击者的目标正在从“数量”转向“质量”——更少的事故、更大的单笔损失、更复杂的攻击手法。KelpDAO 事件中，攻击者利用的不是代码漏洞，而是配置层面的信任假设失误，这种攻击维度的升级意味着传统安全审计的覆盖范围已经不足以应对当前的威胁格局。

总结

KelpDAO 跨链漏洞事件是 2026 年 DeFi 安全领域最具标志性的冲击事件。它揭示了跨链信任模型中单点验证架构的根本脆弱性，展示了资产危机如何在 DeFi 可组合生态中迅速传导，并通过 Aave 的坏账敞口将风险压力转移至整个借贷市场。Arbitrum 安全委员会的紧急干预为被盗资金的追回提供了有限路径，却也引发了关于去中心化治理边界的深层讨论。

Egorov 对非隔离借贷模式的警示和对行业安全标准的呼吁，反映出 DeFi 正处于一个结构性的反思时刻。资本效率与系统安全之间的张力从未如此尖锐——过去几年支撑 DeFi 高速增长的“可组合乐高”逻辑，正在经受信任崩塌后的压力测试。2026 年 4 月的高频安全事故已构成一个明确信号：DeFi 若无法在协议层面建立起系统性的风险隔离机制，每一次“本可避免”的漏洞都将继续侵蚀行业长期发展的信任根基。

常见问题（FAQ）

问：KelpDAO 攻击的直接损失金额是多少？

攻击者盗取了 116,500 枚 rsETH，按当时市场价格计算损失约为 2.92 亿美元。Arbitrum 安全委员会已冻结约 7,100 万美元的被盗资产，约占总额的四分之一。

问：Aave 目前面临的最大坏账风险有多大？

根据不同的坏账处置方案，Aave 面临的坏账规模在 1.237 亿美元至 3.41 亿美元之间。若采用损失仅限 L2 的方案，坏账可达约 3.41 亿美元，且不在 Umbrella 覆盖范围内。

问：此次攻击与其他 DeFi 安全事件有何不同？

攻击根源并非智能合约代码漏洞，而是跨链桥的配置层面问题——KelpDAO 采用了 1/1 单节点 DVN 验证配置，使得单一验证节点的被攻破直接导致整个跨链系统的信任崩塌。

问：Curve 创始人 Egorov 提出了哪些具体建议？

Egorov 呼吁建立统一的 DeFi 安全标准，建议降低系统中的单点故障数量，在必须使用集中式解决方案时设计能够分散信任的机制，并倡导由以太坊基金会与 Solana 基金会等生态机构牵头制定安全设计原则与验证标准。

问：DeFi TVL 缩水的主要驱动力是什么？

驱动力来自双重因素：其一是协议因风险控制而主动冻结受影响市场，其二是恐慌用户的大规模主动撤资。两者叠加导致借贷、再质押和收益型协议出现双位数百分比的资金流失，整体 TVL 从年初约 1,100 亿美元降至约 824 亿美元。

问：此次事件对 DeFi 行业的长期影响是什么？

事件暴露出非隔离借贷模式与跨链信任架构的结构性缺陷，可能推动行业从追求极致资本效率向重视系统性风险隔离的方向演进。Egorov 提到的 Aave v4“hub and spoke”架构以及行业统一安全标准的讨论，或将成为后续发展的关键观察点。