2026 最大安全事件爆发：Kelp DAO rsETH 跨链桥被黑客攻击，损失高达 2.93 亿美元，Aave 等 DeFi 协议出现巨额坏账

综述 | Grok

编辑 | 吴说区块链

4 月 19 日（事件实际发生于 4 月 18 日 UTC 17:35 左右），加密货币圈彻底被 Kelp DAO rsETH 跨链桥遭大规模利用事件刷屏。

这起 2026 年迄今为止规模最大的 DeFi 安全事件，损失约 2.92–2.93 亿美元，直接涉及约 11.65 万枚 rsETH（占 rsETH 总流通量约 18%）。

黑客通过 LayerZero 驱动的跨链桥伪造消息，在以太坊主网铸造了大量无真实抵押背书的 rsETH，随后将这些“空气资产”作为抵押品存入 Aave、Compound、Euler 等主流借贷协议，借出约 2.36 亿美元的真实 WETH/ETH 等优质资产，导致多协议出现总计约 1.77–2.8 亿美元的坏账风险。事件在 X（原 Twitter）平台上迅速发酵，中文和英文社区讨论量数小时内破亿，引发了对跨链桥安全、再质押 LRT 机制以及 DeFi 系统性风险的广泛质疑。

事件完整时间线

4 月 18 日 UTC 17:35 左右：攻击正式启动。黑客利用 Kelp DAO 在 LayerZero 跨链桥上的配置漏洞（1/1 DVN，即单一去中心化验证节点设置），通过伪造跨链消息，调用 lzReceive 函数在以太坊主网释放了 11.65 万枚无真实 Backing 的 rsETH。X 上多名链上追踪者（如@zachxbt）第一时间发帖指出交易哈希和异常铸造记录。

攻击中期：黑客使用 Tornado Cash 等隐私工具混淆资金来源，随后迅速将伪造 rsETH 存入 Aave V3、Compound、Euler 等 9 个主流借贷协议，作为抵押借出大量真实 ETH/WETH。X 社区实时帖显示，借贷池利用率瞬间飙升至近 100%，部分协议资金流出量单日超过 66 亿美元。

Kelp DAO 响应：攻击发生约 46 分钟后，Kelp DAO 多签钱包检测到可疑活动，紧急暂停了主网及多个 L2 链上的 rsETH 相关合约功能。官方 X 账号第一时间发帖确认“rsETH 跨链出现可疑活动”，并表示已与 LayerZero 团队、审计机构及安全专家启动全面调查。

4 月 18 日晚至 4 月 19 日：Aave 官方 X 账号发布声明，紧急冻结 rsETH 抵押市场，防止坏账进一步扩大。Compound、Euler 等协议也陆续跟进暂停或限制相关资产操作。LayerZero 官方 X 帖回应“已知晓事件，正在调查 root cause”。

整个过程在 X 上被实时直播般记录，多位 KOL 转发链上数据，并特别提到 Justin Sun 等大户从 Aave 中大规模撤出资金，进一步加剧了市场恐慌。

技术细节解析（X 上开发者与安全研究员）

根据 X 平台多条技术帖（如@kittendong 的中文深度分析帖），本次攻击的核心漏洞在于 Kelp DAO 对 LayerZero OApp（Omnichain Application）的配置问题：采用 1/1 DVN 模式（仅依赖单一验证节点），黑客得以伪造跨链验证消息。攻击者通过精心构造的 payload，在目标链上触发了无真实跨链资产对应的 rsETH 铸造。该机制本质上让黑客“凭空”获得了价值近 3 亿美元的合成资产。

随后，黑客将这些 rsETH 作为超额抵押（over-collateralized）存入借贷协议，借出真实 ETH，形成典型的“闪电贷式”攻击变体。X 上安全研究员指出，这与 2022 年 Nomad 桥事件高度相似，暴露了“跨链桥 + LRT（Liquid Restaking Token）”组合的系统性风险：rsETH 作为再质押衍生品，其价值依赖底层 ETH staking，但跨链铸造环节缺乏足够的去中心化验证和实时背书检查。

此外，部分帖子提到黑客可能还利用了 Kelp DAO 合约的某些私有密钥或配置泄露（具体仍在调查中），整个攻击链条高效且低调，gas 费来源经过多重混淆。

官方回应与应急措施

Kelp DAO：官方 X 帖明确表示“已暂停 rsETH 在多链上的合约功能，防止进一步损失”，并承诺“与 LayerZero、多个审计方合作，24–48 小时内发布初步调查报告”。

LayerZero：官方账号发帖称“团队正全力调查 root cause，将在最短时间内提供透明更新”，同时呼吁所有集成 LayerZero 的项目立即检查 DVN 阈值设置。

Aave：在 X 声明“已冻结 rsETH 相关市场，协议流动性安全无虞”，但社区仍担忧潜在坏账规模可能达到 2.8 亿美元。

其他受影响协议（如 Compound、Euler）也同步发布类似公告，X 上实时更新帖显示，至少 16 个借贷/DEX 协议已采取限制措施。

市场影响与连锁反应

事件对 DeFi 市场造成剧烈冲击：

代币价格：AAVE 代币 24 小时内暴跌 17–19%，触发大量多空清算；LayerZero 原生代币 ZRO 同步下跌约 20%；rsETH 出现严重脱锚，价格一度较 ETH 折价明显。

流动性冲击：Aave 等协议 ETH 池利用率接近 100%，单日资金流出量超 66 亿美元，DeFi 总 TVL 短时间内蒸发近 100 亿美元。

传染效应：X 上多名分析师绘制“传染路径图”，指出坏账可能波及整个 LRT 生态和跨链资产。

历史对比：本次事件已超越 18 天前 Drift 协议约 2.85 亿美元损失，成为 2026 年 DeFi 最大单次黑客事件。

大量帖子直指 LayerZero 1/1 DVN 是“定时炸弹”，呼吁所有跨链项目立即升级为多验证节点（至少 2/3 或更高阈值）。有开发者帖称“速度不能凌驾于安全之上”。

LRT 与合成资产风险：社区普遍认为 rsETH 这类再质押资产在跨链场景下的透明度不足，@zachxbt 等帖强调“无真实抵押的 LRT 是当前最大攻击面”。

DeFi 系统性担忧：多名分析师模拟后续连锁反应，建议用户立即检查 Aave、Compound 等协议头寸并撤出暴露资金。中文网友评论区充斥“又一个亿级桥接事故”、“DeFi 还能信吗？”、“呼吁更高安全标准”等声音。

部分帖子肯定 Kelp DAO 多签治理的快速响应（46 分钟内暂停），认为事件将推动行业采用零知识证明（ZK）、多重签名及实时监控等更强方案。

整体情绪以“震惊+警惕”为主，但也有开发者表示“暴露问题比隐瞒更好，有助于行业长期迭代”。

事件启示与行业建议

此次 Kelp DAO rsETH 事件再次敲响警钟：即使是主流再质押协议，在跨链桥设计、验证节点配置和抵押透明度上仍存在系统性漏洞。X 社区共识包括：

项目方需立即自查 LayerZero 等跨链集成，优先采用去中心化程度更高的配置。

用户应谨慎对待新上线的跨链 LRT 资产，优先选择 TVL 高、审计透明的项目，并分散风险。

行业需加速推动标准化安全框架，如强制多 DVN、链上实时背书验证等。

目前事件仍在持续调查中，Kelp DAO、LayerZero 及受影响协议将继续在 X 上更新最新进展。加密市场波动性一如既往，安全始终是第一要务。建议所有参与者密切关注官方 X 账号，避免谣言误导。