KelpDAO被盜2.92億美元事件引發連鎖反應：Aave撤資超54億美元，借貸市場風險遭重新評估

BlockBeats 消息，4 月 19 日，多鏈流動性質押平台 KelpDAO 今日凌晨遭攻擊，攻擊者從 KelpDAO 基於 LayerZero 的跨鏈橋中轉出 116,500 枚 rsETH，約合 2.92 億美元，是 2026 年目前為止規模最大的一起 DeFi 安全事件。約 46 分鐘後，KelpDAO 作出響應。協議緊急暫停多簽，凍結包括 LRT 存款池、提現合約、預言機及 rsETH 代幣在內的核心組件。Kelp 表示已發現涉及 rsETH 的異常跨鏈活動，並已暫停主網及多個 L2 上的相關合約，同時正與 LayerZero 等共同進行根因分析。

攻擊者隨後發起的兩次後續攻擊均失敗，暫停措施有效阻止了進一步資金流失。其嘗試額外轉出 40,000 枚 rsETH（約 1 億美元），若成功，總損失或將擴大至約 3.91 億美元。攻擊者迅速在 Aave、Compound、Euler、Fluid 等借貸協議中進行借貸，造成多個協議出現壞賬。其中 Aave 產生約 1.77 億美元壞賬，Compound 產生約 3,940 萬美元壞賬，Euler 產生約 84 萬美元壞賬。Aave 受影響最大，其表示已凍結 V3 與 V4 中的 rsETH 市場，並表示該事件與 rsETH 資產相關，而非協議智能合約本身問題。Aave 表示正在評估事件後產生的借貸情況，並稱若協議形成壞賬，將「探索路徑以彌補缺口」。

KelpDAO 攻擊者將盜取的大部分 rsETH 存入 Aave 作為抵押借出 ETH，少部分被直接出售換成 ETH。黑客通過抵押與抛售共獲取 106,466 枚 ETH（約 2.5 億美元）。出於避險目的，超過 54 億美元資產在黑客通過 Aave 抵押非法鑄造的 rsETH 借走大量 ETH 後，從 Aave 緊急撤離。其中包括 Justin Sun 取回 65,584 枚 ETH (1.54 億美元)。Aave 上 ETH 的資金利用率一度升至 100%。

Curve 創始人 Michael Egorov 發文表示：「本次事件正是當前普遍採用的「非隔離借貸」模式所帶來的風險。該模式具備良好的擴展性，但風險更高，因此風險管理至關重要。Aave v4 的 hub and spoke（中心—輻射）模型，或許是邁向半隔離、更安全方向的一步。」

加密 KOL benmo.eth 發文表示，KelpDAO 的 rsETH 被盜事件影響深遠，Aave 的安全「金身」被打破，統一型借貸市場的風險正重新進入巨鯨審視範圍。Aave V4 與模塊化借貸或將成為未來趨勢，相關轉型進程可能加速。DeFi 將停止擴展路線，轉向更保守的安全模式，同時還需進一步應對 Anthropic Mythos 等 AI 驅動安全威脅。

Bankless 聯合創始人 Ryan Sean Adams 發文表示，「加密遭黑客攻擊的發生頻率已達到歷史最高水平。我認為這與 AI 有關。AI 正在賦予黑客「黑暗的超能力」。防禦必須盡快跟上，我們已經沒有時間了。」