3億美元蒸發！加密行業再爆驚天漏洞，安全神話走向崩塌

本報（chinatimes.net.cn）記者趙奕 上海報道

沒有復雜的黑客攻擊手段，沒有內鬼泄密，更沒有技術破解，僅僅是一個配置失誤的安全設置，便讓2.92億美元瞬間蒸發。

日前，Kelp DAO跨鏈橋遭遇黑客偷襲，攻擊者利用LayerZero跨鏈消息漏洞，鑄造了11.65萬枚沒有真實資產背書的rsETH代幣，隨即存入Aave平臺并以此作為抵押，將風險傳導至整個DeFi網絡。該事件不僅刷新了今年以來加密行業安全事件的損失紀錄，更打破了“頭部協議即安全”的行業迷思，進一步沖擊加密行業市場信任基礎。

“這次事件再次證明，DeFi的可組合性是把雙刃劍。”眺遠影響力研究院院長高承遠向《華夏時報》記者表示，DeFi的可組合性意味著風險也會“組合”。高承遠認為，這不是無法規避的底層隱患，而是當前行業在追逐TVL和資本效率時，系統性低估了跨協議風險敞口的結果。真正的解法不是放棄可組合性，而是建立跨協議的實時風險熔斷機制和抵押品質量分級體系，讓風險傳染有“防火墻”可擋。

多個相關協議出現巨額壞賬

近日，多鏈流動性質押平臺Kelp DAO遭遇了迄今為止本年度規模最大的DeFi安全攻擊，一場由配置失誤引發的非法資產盜取事件悄然發生。攻擊者并未采用復雜的技術破解手段，而是利用LayerZero跨鏈消息傳輸的安全漏洞，偽造了一行數字文本消息，成功誘導系統憑空生成了11.65萬枚沒有任何真實資產背書的rsETH（一種流動性質押代幣），這部分代幣價值約2.92億美元，占rsETH總流通量的18%。

在得手后，攻擊者并未急于拋售這些代幣，而是利用加密借貸協議的規則，將這些偽造的rsETH存入Aave、Compound等主流借貸平臺，以此為抵押借出真實的WETH（以太坊錨定代幣），實現“空手套白狼”的操作。其中，Aave受影響最為嚴重，據Lookonchain鏈上估算，其面臨的潛在壞賬高達1.77億至1.96億美元，Compound和Euler也分別出現3940萬美元和84萬美元的壞賬。

“此次事件的警示在于，DeFi面臨的是可組合結構下的風險共振。”中國通信工業協會區塊鏈專委會共同主席于佳寧向《華夏時報》記者表示，在跨鏈、再質押、借貸和流動性池高度嵌套的架構中，一個環節的安全缺口，很容易沿著抵押品、預言機和清算鏈條傳導為多協議聯動沖擊。

“就現階段而言，這類由單點事故觸發的系統性風險，確實屬于行業難以回避的底層隱患。癥結主要集中在信任鏈條過長、風險隔離不足、抵押品穿透識別不夠。”于佳寧表示，未來若不能在跨鏈驗證、抵押品分層和熔斷機制上補齊短板，類似沖擊仍會反復出現。

鏈上數據顯示，事發約46分鐘后，Kelp DAO作出響應，協議緊急暫停多簽，凍結包括提現合約、預言機及rsETH代幣在內的核心組件。攻擊者隨后發起的兩次攻擊均失敗，暫停措施有效阻止了進一步資金流失。

此次攻擊的連鎖反應迅速蔓延至整個加密生態。消息曝光后，市場恐慌情緒加劇，投資者紛紛從Aave等受影響協議中撤離資產，24小時內超過80億美元從Aave撤出，導致Aave上ETH的資金利用率一度飆升至100%，剩余存款人無法正常提款。據Defillama數據，Aave的TVL（總鎖倉價值）從事件前的264億美元暴跌至180億美元，降幅約32%，AAVE代幣也在24小時內下跌約18%。

為防范風險擴散，多家主流協議紛紛采取緊急措施：SparkLend、Fluid凍結了各自的rsETH市場，Lido Finance暫停了涉及rsETH風險敞口的earnETH產品存款，Ethena等10余家協議則直接暫停了基于LayerZero的OFT跨鏈橋，即便部分協議并未持有rsETH，也選擇以預防性措施規避系統風險。

4月21日，據EmberCN監測，在Arbitrum安全委員會凍結KelpDAO黑客30766枚ETH（約合7097萬美元）后，黑客仍在以太坊鏈上持有75700枚ETH，價值約1.75億美元。

值得注意的是，事件發生后，Kelp DAO與LayerZero陷入責任推諉。市場消息稱，Kelp DAO正準備備忘錄，將攻擊事件歸咎于LayerZero，認為其在跨鏈橋設置過程中，提供的文檔、默認配置及團隊指導存在問題；而LayerZero則反駁稱，Kelp DAO使用了危險的單驗證者配置，且無視其多次安全警告，雙方的爭執進一步凸顯了加密行業安全責任界定的模糊性。

DeFi安全漏洞頻發

Kelp DAO的驚天爆雷，并非2026年加密行業的個例。事實上，進入2026年尤其是4月份以來，加密行業安全事件呈現“爆發式”增長，據不完全統計，僅一個月時間，就有至少13個加密協議和平臺遭遇不同規模攻擊，累計損失超過6億美元，加密行業的安全防線正面臨前所未有的挑戰。

4月1日，Solana上最大的永續合約交易所Drift Protocol遭遇攻擊，攻擊者在12分鐘內盜走2.85億美元。4月10日，Hyperbridge因跨鏈證明驗證漏洞被攻擊，攻擊者偽造跨鏈消息，鑄造并拋售10億枚橋接DOT代幣，造成約250萬美元損失。4月16日，NEAR生態借貸協議Rhea Finance遭攻擊，總損失1840萬美元。而Kelp DAO2.92億美元的被盜事件，再次刷新了2026年DeFi安全事件的損失紀錄，讓整個行業陷入安全恐慌。

為何加密安全事件頻發，且損失規模不斷擴大？“許多安全事故表面上看是新場景、新協議出問題，實質上仍是權限管理、業務邏輯、組件依賴和升級控制等老問題，在復雜的跨鏈、再質押和可升級架構中多層嵌套，演化為更強的傳導效應。”于佳寧表示，行業長期更重視擴張速度和資本效率，對系統聯防、風險隔離和責任閉環投入不足，所以同類風險才會一再以更復雜的形式重復出現。

科方得咨詢機構負責人張新原向《華夏時報》記者表示，行業“效率優先”的野蠻生長模式是根本原因。“跨鏈橋等創新為了搶占市場，往往犧牲安全冗余，開源代碼的復制粘貼也導致同類漏洞反復出現，再加上安全防御多為事后補救，缺乏主動的攻防演練與實時監控體系，使得黑客有機可乘。”

他進一步表示，當前安全審計存在明顯局限，大多局限于核心合約代碼，忽略了跨鏈組件、預言機等外圍模塊，且動態風險難以通過靜態代碼審計覆蓋，部分項目方為追求上線速度，還會忽視審計報告的深度整改建議，讓審計報告淪為“營銷背書”。行業需從“應急響應”轉向“預防性安全”，建立共享漏洞庫與攻擊模式分析網絡。

高承遠補充道，激勵機制錯位和安全投入外部性，讓行業陷入“屢犯屢錯”的惡性循環。“對項目方而言，追求TVL增長和代幣發行的短期利益，遠重于投入資源做縱深安全防御；對投資者而言，收益率才是決策核心，安全審計報告往往只是盡職調查的擺設。更關鍵的是，安全事件的成本并未被內部化，項目方即便遭遇攻擊，也能通過代幣增發、社區募資等方式轉移損失，真正承擔代價的是普通用戶和被動卷入的協議。”

此外，AI技術的發展也讓黑客攻擊變得更加便捷。Bankless聯合創始人Ryan Sean Adams警告稱，加密遭黑客攻擊的發生頻率已達到歷史最高水平，AI正在賦予黑客“黑暗的超能力”，而行業的防御體系卻未能及時跟上，留給我們的時間已經不多了。

長期以來，加密行業過度追求創新速度和資本效率，將“去中心化”“可組合性”奉為圭臬，卻忽視了安全是行業發展的底線，導致“去信任”并未帶來“更安全”，反而因風險傳導機制的存在，讓單點漏洞演變為系統性危機。

于佳寧直言，跨鏈信任機制在現階段很難被徹底解決，安全攻防本身就是持續迭代的過程。新的技術架構、跨鏈方案和流動性組織方式不斷出現，攻擊手法也會同步演化，防御體系很難形成一勞永逸的終局方案。尤其是DeFi協議應用高度疊加的情況，舊風險會在新場景中反復變形、放大，因此行業需要建立持續審計、持續監測、持續響應、持續修正的動態治理能力。

在于佳寧看來，安全責任必須按控制權來劃分，開發和治理主體對代碼、權限和審計負責，審計機構對審計范圍和方法負責，橋、預言機等外部服務方對運行安全負責，平臺和中介機構對風險揭示與應急處置負責。要從根源上破解責任模糊和追責困難，關鍵是把審計從營銷背書變成持續約束，強制披露審計邊界、剩余風險和后續監測安排。

責任編輯：徐蕓茜 主編：公培佳