Kelp DAO被盗2.92亿美元,Aave承接巨额坏账

DeFi 的安全问题，又一次以近乎残酷的方式摆在所有人面前。

北京时间 4 月 19 日凌晨 1:35 左右，链上数据记录下了一起惊天大案：第二大流动性质押协议

，其基于 LayerZero 的 rsETH 桥接合约疑似遭到黑客攻击，损失高达 。

回头看这笔攻击的踪迹，手法相当老练。攻击者地址早在事发前约 10 小时，就从混币协议 Tornado Cash 收到了 1 ETH 的启动资金。随后，它精确调用了 LayerZero EndpointV2 合约上的 lzReceive 函数，这一下直接触发了 Kelp 的桥接合约，将大量 rsETH 转移到了另一个攻击者地址。

大约两个半小时后，Kelp DAO 官方在 X（原 Twitter）上确认了攻击，并迅速暂停了主网及多个 Layer2 上的 rsETH 合约，同时与 LayerZero、Unichain 的安全专家合作调查。

事件发生后，各路安全机构迅速介入分析。其中，D2 Finance 的结论被社区多次引用——LayerZero Scan 将该消息来源的对端标记为 Kelp DAO，这意味着消息来自 Kelp 自身合法部署的对端合约，且该路径此前已有 308 条消息的 nonce 记录。所以，

。

更令人不安的是，TinyHumans AI 的开发者 Steven Enamakel 补充了一个细节：Kelp DAO 与 LayerZero 的这套桥接合约，竟然只由一个 1/1 的验证者集合（DVN）来保障。换句话说，只要验证者发出一笔错误交易，整个系统就形同虚设。

黑客借路 Aa ve 出逃，疑似已造成坏账

得手之后，黑客面临的最大问题是：rsETH 本身的交易流动性极其有限，怎么变&现？答案是——借路 Aa ve 等借贷协议。

PeckShield Alert 监测显示，截至凌晨 4:30，黑客地址已经将有问题的 rsETH 存入 Aa ve V3、Compound V3、Euler 等主流借贷协议，并借出了大量 WETH。结果呢？债务总额超过 2.36 亿美元——其中仅 Aa ve 一家平台就背负了 1.96 亿美元的债务，Compound 3940 万美元，Euler 仅 84 万美元。

Aa ve 团队的反应相当迅速，随即冻结了 Aa ve V3 和 V4 上的 rsETH 市场，并明确表态：

，冻结是为了防止新的存款和抵押借款。

不过，真正让市场紧张的是 Aa ve 后一份声明中的这句话：

截至发文，

。但各方已经开始估算。Aa ve 的直接竞争对手，Spark 的战略主管 monetsupply.eth 判断：如果 rsETH 出现 19% 的折价（被盗数额占其总供应量的 19%），由于存在高杠杆的循环借贷，Aa ve 可能会产生超过 1 亿美元的坏账。

但 Aa ve 生态内代表性治理团队 Aa ve Chan Initiative（ACI）的创始人 Marc Zeller（已宣布因治理分歧将于 7 月退出 Aa ve）却给出了不同的看法。他曾在事件初期建议用户从 Aa ve V3 中尽快取出 WETH，并确认 USDC 和 USDT 市场不受影响。在回应“坏账可能达到上亿规模”的猜测时，他的回答是：

不过，Marc Zeller 也提醒，现在是时候在真正的生产环境中检验 Umbrella 了。简单来说，Umbrella 是 Aa ve 的自动安全模块——一个应对坏账的资金池。用户可以向其内存入资产以获取较高激励，但当协议出现坏账时，它也得承担相应亏损。

Aa ve 的协议数据显示，

，但这笔钱够不够填窟窿？答案还不确定。

Andre Cronje 则从另一个角度给出了判断：Aa ve 并无补贴用户损失的机制，否则可能引发挤兑。当前 Aa ve 约持有 70 亿美元 ETH，提取规模约 1 亿美元，因此整体影响有限。

市场反应很直接。AA VE 短线大跌近 10%，截至发文暂报 104.6 USDT。

四月的又一场亿级安全事件

这并非本月发生的第一起巨额安全事件。就在 4 月 1 日，Solana 生态衍生品交易协议 Drift Protocol 刚遭遇攻击，损失高达 2.8 亿美元。事后，Drift Protocol 直接将锅甩给了“朝鲜黑客”，而 Tether 等机构承诺注资 1.475 亿美元用于用户赔付，至少让用户看到了索赔的希望。

但仅仅过去十几天，又一起规模更大的黑客事件爆发。这一次，又该如何收场？

DeFi 还有安全的地方吗？

DeFi 的安全问题正愈演愈烈。一边是持续不断的黑客事件，另一边是 Mythos 等 AI 工具带来的持续性安全威胁。对于用户来说，此前的应对逻辑是：将资金向审计充分、品牌信誉较好的头部协议聚拢。但现如今，

站在当下的防御格局下，确实不太建议用户将大额资金长期留在链上。如果确实需要部署仓位，务必做好跨协议、跨链的分散与隔离。