3亿美元蒸发！加密行业再爆惊天漏洞，安全神话走向崩塌

本报（chinatimes.net.cn）记者赵奕 上海报道

没有复杂的黑客攻击手段，没有内鬼泄密，更没有技术破解，仅仅是一个配置失误的安全设置，便让2.92亿美元瞬间蒸发。

日前，Kelp DAO跨链桥遭遇黑客偷袭，攻击者利用LayerZero跨链消息漏洞，铸造了11.65万枚没有真实资产背书的rsETH代币，随即存入Aave平台并以此作为抵押，将风险传导至整个DeFi网络。该事件不仅刷新了今年以来加密行业安全事件的损失纪录，更打破了“头部协议即安全”的行业迷思，进一步冲击加密行业市场信任基础。

“这次事件再次证明，DeFi的可组合性是把双刃剑。”眺远影响力研究院院长高承远向《华夏时报》记者表示，DeFi的可组合性意味着风险也会“组合”。高承远认为，这不是无法规避的底层隐患，而是当前行业在追逐TVL和资本效率时，系统性低估了跨协议风险敞口的结果。真正的解法不是放弃可组合性，而是建立跨协议的实时风险熔断机制和抵押品质量分级体系，让风险传染有“防火墙”可挡。

多个相关协议出现巨额坏账

近日，多链流动性质押平台Kelp DAO遭遇了迄今为止本年度规模最大的DeFi安全攻击，一场由配置失误引发的非法资产盗取事件悄然发生。攻击者并未采用复杂的技术破解手段，而是利用LayerZero跨链消息传输的安全漏洞，伪造了一行数字文本消息，成功诱导系统凭空生成了11.65万枚没有任何真实资产背书的rsETH（一种流动性质押代币），这部分代币价值约2.92亿美元，占rsETH总流通量的18%。

在得手后，攻击者并未急于抛售这些代币，而是利用加密借贷协议的规则，将这些伪造的rsETH存入Aave、Compound等主流借贷平台，以此为抵押借出真实的WETH（以太坊锚定代币），实现“空手套白狼”的操作。其中，Aave受影响最为严重，据Lookonchain链上估算，其面临的潜在坏账高达1.77亿至1.96亿美元，Compound和Euler也分别出现3940万美元和84万美元的坏账。

“此次事件的警示在于，DeFi面临的是可组合结构下的风险共振。”中国通信工业协会区块链专委会共同主席于佳宁向《华夏时报》记者表示，在跨链、再质押、借贷和流动性池高度嵌套的架构中，一个环节的安全缺口，很容易沿着抵押品、预言机和清算链条传导为多协议联动冲击。

“就现阶段而言，这类由单点事故触发的系统性风险，确实属于行业难以回避的底层隐患。症结主要集中在信任链条过长、风险隔离不足、抵押品穿透识别不够。”于佳宁表示，未来若不能在跨链验证、抵押品分层和熔断机制上补齐短板，类似冲击仍会反复出现。

链上数据显示，事发约46分钟后，Kelp DAO作出响应，协议紧急暂停多签，冻结包括提现合约、预言机及rsETH代币在内的核心组件。攻击者随后发起的两次攻击均失败，暂停措施有效阻止了进一步资金流失。

此次攻击的连锁反应迅速蔓延至整个加密生态。消息曝光后，市场恐慌情绪加剧，投资者纷纷从Aave等受影响协议中撤离资产，24小时内超过80亿美元从Aave撤出，导致Aave上ETH的资金利用率一度飙升至100%，剩余存款人无法正常提款。据Defillama数据，Aave的TVL（总锁仓价值）从事件前的264亿美元暴跌至180亿美元，降幅约32%，AAVE代币也在24小时内下跌约18%。

为防范风险扩散，多家主流协议纷纷采取紧急措施：SparkLend、Fluid冻结了各自的rsETH市场，Lido Finance暂停了涉及rsETH风险敞口的earnETH产品存款，Ethena等10余家协议则直接暂停了基于LayerZero的OFT跨链桥，即便部分协议并未持有rsETH，也选择以预防性措施规避系统风险。

4月21日，据EmberCN监测，在Arbitrum安全委员会冻结KelpDAO黑客30766枚ETH（约合7097万美元）后，黑客仍在以太坊链上持有75700枚ETH，价值约1.75亿美元。

值得注意的是，事件发生后，Kelp DAO与LayerZero陷入责任推诿。市场消息称，Kelp DAO正准备备忘录，将攻击事件归咎于LayerZero，认为其在跨链桥设置过程中，提供的文档、默认配置及团队指导存在问题；而LayerZero则反驳称，Kelp DAO使用了危险的单验证者配置，且无视其多次安全警告，双方的争执进一步凸显了加密行业安全责任界定的模糊性。

DeFi安全漏洞频发

Kelp DAO的惊天爆雷，并非2026年加密行业的个例。事实上，进入2026年尤其是4月份以来，加密行业安全事件呈现“爆发式”增长，据不完全统计，仅一个月时间，就有至少13个加密协议和平台遭遇不同规模攻击，累计损失超过6亿美元，加密行业的安全防线正面临前所未有的挑战。

4月1日，Solana上最大的永续合约交易所Drift Protocol遭遇攻击，攻击者在12分钟内盗走2.85亿美元。4月10日，Hyperbridge因跨链证明验证漏洞被攻击，攻击者伪造跨链消息，铸造并抛售10亿枚桥接DOT代币，造成约250万美元损失。4月16日，NEAR生态借贷协议Rhea Finance遭攻击，总损失1840万美元。而Kelp DAO2.92亿美元的被盗事件，再次刷新了2026年DeFi安全事件的损失纪录，让整个行业陷入安全恐慌。

为何加密安全事件频发，且损失规模不断扩大？“许多安全事故表面上看是新场景、新协议出问题，实质上仍是权限管理、业务逻辑、组件依赖和升级控制等老问题，在复杂的跨链、再质押和可升级架构中多层嵌套，演化为更强的传导效应。”于佳宁表示，行业长期更重视扩张速度和资本效率，对系统联防、风险隔离和责任闭环投入不足，所以同类风险才会一再以更复杂的形式重复出现。

科方得咨询机构负责人张新原向《华夏时报》记者表示，行业“效率优先”的野蛮生长模式是根本原因。“跨链桥等创新为了抢占市场，往往牺牲安全冗余，开源代码的复制粘贴也导致同类漏洞反复出现，再加上安全防御多为事后补救，缺乏主动的攻防演练与实时监控体系，使得黑客有机可乘。”

他进一步表示，当前安全审计存在明显局限，大多局限于核心合约代码，忽略了跨链组件、预言机等外围模块，且动态风险难以通过静态代码审计覆盖，部分项目方为追求上线速度，还会忽视审计报告的深度整改建议，让审计报告沦为“营销背书”。行业需从“应急响应”转向“预防性安全”，建立共享漏洞库与攻击模式分析网络。

高承远补充道，激励机制错位和安全投入外部性，让行业陷入“屡犯屡错”的恶性循环。“对项目方而言，追求TVL增长和代币发行的短期利益，远重于投入资源做纵深安全防御；对投资者而言，收益率才是决策核心，安全审计报告往往只是尽职调查的摆设。更关键的是，安全事件的成本并未被内部化，项目方即便遭遇攻击，也能通过代币增发、社区募资等方式转移损失，真正承担代价的是普通用户和被动卷入的协议。”

此外，AI技术的发展也让黑客攻击变得更加便捷。Bankless联合创始人Ryan Sean Adams警告称，加密遭黑客攻击的发生频率已达到历史最高水平，AI正在赋予黑客“黑暗的超能力”，而行业的防御体系却未能及时跟上，留给我们的时间已经不多了。

长期以来，加密行业过度追求创新速度和资本效率，将“去中心化”“可组合性”奉为圭臬，却忽视了安全是行业发展的底线，导致“去信任”并未带来“更安全”，反而因风险传导机制的存在，让单点漏洞演变为系统性危机。

于佳宁直言，跨链信任机制在现阶段很难被彻底解决，安全攻防本身就是持续迭代的过程。新的技术架构、跨链方案和流动性组织方式不断出现，攻击手法也会同步演化，防御体系很难形成一劳永逸的终局方案。尤其是DeFi协议应用高度叠加的情况，旧风险会在新场景中反复变形、放大，因此行业需要建立持续审计、持续监测、持续响应、持续修正的动态治理能力。

在于佳宁看来，安全责任必须按控制权来划分，开发和治理主体对代码、权限和审计负责，审计机构对审计范围和方法负责，桥、预言机等外部服务方对运行安全负责，平台和中介机构对风险揭示与应急处置负责。要从根源上破解责任模糊和追责困难，关键是把审计从营销背书变成持续约束，强制披露审计边界、剩余风险和后续监测安排。

责任编辑：徐芸茜 主编：公培佳