#KelpDAOBridgeHacked KelpDAO rsETH橋樑漏洞：2026年最大DeFi黑客事件

2026年4月18日，KelpDAO，一個知名的流動性再抵押協議，事發前鎖定資產總值超過13億美元(TVL)，遭遇針對其跨鏈橋基礎設施的嚴重漏洞攻擊。此次攻擊導致約116,500個rsETH代幣被盜，當時價值約2.92億至2.94億美元，成為2026年迄今最大規模的去中心化金融漏洞。

攻擊途徑

該漏洞針對由LayerZero跨鏈訊息協議支援的KelpDAO rsETH橋樑。攻擊者識別並利用LayerZero EndpointV2的lzReceive函數中的一個關鍵漏洞。方法包括使用Unichain EID 30320註冊測試網點，並利用一個1對1的去中心化驗證者網絡(DVN)的批准配置。這使得攻擊者能夠製作並傳送一個偽造的跨鏈訊息，繞過標準驗證流程，觸發未經授權的rsETH釋放，從金庫中提取沒有合法支撐資產的資金。

被盜的rsETH約佔該代幣流通總量的18%，立即引發DeFi生態系統的系統性擔憂。

跨協議傳染與壞帳危機

攻擊者未持有被盜資產，而是迅速將未抵押的rsETH作為抵押品部署到多個借貸協議中，形成連鎖壞帳局面：

- Aave V3 (Ethereum)：借出52,834 WETH
- Aave V3 (Arbitrum)：借出29,782 WETH及821個wstETH
- Compound V3與Euler：額外借款23-59百萬美元

受影響協議的總壞帳超過$200 百萬美元，因為在協議暫停後，rsETH抵押品變得一文不值。這不僅是一次橋樑漏洞，更是一場跨協議傳染事件，考驗DeFi互聯架構的韌性。

市場即時反應

此次漏洞引發市場劇烈反應與協議層的緊急應對措施：

- Aave的TVL因大量ETH提款暴跌超過$7 十億美元，相關市場的利用率達到100%
- 原生代幣價格下跌：$AAVE 約下跌20%，$ZRO (LayerZero)約下跌30%
- 在Aave V3、V4、SparkLend、Fluid與Upshift等平台對rsETH抵押品實施緊急凍結
- Lido Earn因rsETH曝險問題暫停earnETH存款
- 多個利用LayerZero橋樑的項目啟動預防性暫停

次級風險包括ETH清算失敗、USDT借貸激勵問題，以及Arbitrum上的Aave部署集中壞帳風險，可能缺乏全面的Umbrella保護。

緊急應對與現狀

KelpDAO的安全團隊在約一小時內（4月18日18:21 UTC）做出反應，實施了全協議暫停，成功阻擋了後續兩次攻擊企圖。團隊已發表官方聲明，表示願意與白帽黑客協商，並正與LayerZero、Unichain及第三方審計機構合作進行根本原因分析。

Aave治理已啟動討論，涉及資金部署與潛在貸款，以彌補短缺，並提出包括ETH斜率2率提升的方案來應對協議壓力。根據Chaos Labs的分析，約$177 百萬美元的壞帳已經清償，但Arbitrum的曝險尚未解決。

區塊鏈調查員如ZachXBT已追蹤被盜資金至Tornado Cash，目前尚未成功追回。分析師預計，橋接的rsETH持有者可能面臨15-20%的資產折讓，KelpDAO正考慮損失社會化或主網持有人優先策略。

行業影響

此事件代表跨鏈橋安全與流動性再抵押代幣(LRT)的可組合性的一個關鍵轉折點。漏洞凸顯了可配置橋樑安全參數的根本弱點，尤其是簡化的DVN配置所帶來的風險。此事件加劇了對橋樑架構安全標準的審視，以及高互聯DeFi協議所面臨的系統性風險。

KelpDAO的漏洞超越了2026年4月1日Drift Protocol價值2.8億至2.85億美元的攻擊，彰顯出針對複雜跨鏈基礎設施的攻擊日益高級化。2026年4月，整個行業在多起事件中損失超過12億美元，包括CoW Swap域名劫持攻擊，迫使行業加強安全措施，建立更完善的跨協議風險管理框架。

受影響的用戶與市場參與者應密切關注KelpDAO與Aave的官方渠道，獲取資金追回、賠償方案及協議重啟的最新資訊。

#KelpDAO #DeFiSecurity #CryptoHack #BridgeExploit