本報(chinatimes.net.cn)記者趙奕 上海報道
沒有複雜的黑客攻擊手段,沒有內鬼泄密,更沒有技術破解,僅僅是一個配置失誤的安全設置,便讓2.92億美元瞬間蒸發。
日前,Kelp DAO跨鏈橋遭遇黑客偷襲,攻擊者利用LayerZero跨鏈消息漏洞,鑄造了11.65萬枚沒有真實資產背書的rsETH代幣,隨即存入Aave平台並以此作為抵押,將風險傳導至整個DeFi網絡。該事件不僅刷新了今年以來加密行業安全事件的損失紀錄,更打破了「頭部協議即安全」的行業迷思,進一步衝擊加密行業市場信任基礎。
「這次事件再次證明,DeFi的可組合性是把雙刃劍。」眺遠影響力研究院院長高承遠向《華夏時報》記者表示,DeFi的可組合性意味着風險也會「組合」。高承遠認為,這不是無法規避的底層隱患,而是當前行業在追逐TVL和資本效率時,系統性低估了跨協議風險敞口的結果。真正的解法不是放棄可組合性,而是建立跨協議的實時風險熔斷機制和抵押品質量分級體系,讓風險傳染有「防火牆」可擋。
多個相關協議出現巨額壞賬
近日,多鏈流動性質押平台Kelp DAO遭遇了迄今為止本年度規模最大的DeFi安全攻擊,一場由配置失誤引發的非法資產盜取事件悄然發生。攻擊者並未採用複雜的技術破解手段,而是利用LayerZero跨鏈消息傳輸的安全漏洞,偽造了一行數字文本消息,成功誘導系統憑空生成了11.65萬枚沒有任何真實資產背書的rsETH(一種流動性質押代幣),這部分代幣價值約2.92億美元,佔rsETH總流通量的18%。
在得手後,攻擊者並未急於拋售這些代幣,而是利用加密借貸協議的規則,將這些偽造的rsETH存入Aave、Compound等主流借貸平台,以此為抵押借出真實的WETH(以太坊錨定代幣),實現「空手套白狼」的操作。其中,Aave受影響最為嚴重,據Lookonchain鏈上估算,其面臨的潛在壞賬高達1.77億至1.96億美元,Compound和Euler也分別出現3940萬美元和84萬美元的壞賬。
「此次事件的警示在於,DeFi面臨的是可組合結構下的風險共振。」中國通信工業協會區塊鏈專委會共同主席於佳寧向《華夏時報》記者表示,在跨鏈、再質押、借貸和流動性池高度嵌套的架構中,一個環節的安全缺口,很容易沿着抵押品、預言機和清算鏈條傳導為多協議聯動衝擊。
「就現階段而言,這類由單點事故觸發的系統性風險,確實屬於行業難以迴避的底層隱患。癥結主要集中在信任鏈條過長、風險隔離不足、抵押品穿透識別不夠。」於佳寧表示,未來若不能在跨鏈驗證、抵押品分層和熔斷機制上補齊短板,類似衝擊仍會反覆出現。
鏈上數據顯示,事發約46分鐘後,Kelp DAO作出響應,協議緊急暫停多簽,凍結包括提現合約、預言機及rsETH代幣在內的核心組件。攻擊者隨後發起的兩次攻擊均失敗,暫停措施有效阻止了進一步資金流失。
此次攻擊的連鎖反應迅速蔓延至整個加密生態。消息曝光後,市場恐慌情緒加劇,投資者紛紛從Aave等受影響協議中撤離資產,24小時內超過80億美元從Aave撤出,導致Aave上ETH的資金利用率一度飆升至100%,剩餘存款人無法正常提款。據Defillama數據,Aave的TVL(總鎖倉價值)從事件前的264億美元暴跌至180億美元,降幅約32%,AAVE代幣也在24小時內下跌約18%。
為防範風險擴散,多家主流協議紛紛採取緊急措施:SparkLend、Fluid凍結了各自的rsETH市場,Lido Finance暫停了涉及rsETH風險敞口的earnETH產品存款,Ethena等10餘家協議則直接暫停了基於LayerZero的OFT跨鏈橋,即便部分協議並未持有rsETH,也選擇以預防性措施規避系統風險。
4月21日,據EmberCN監測,在Arbitrum安全委員會凍結KelpDAO黑客30766枚ETH(約合7097萬美元)後,黑客仍在以太坊鏈上持有75700枚ETH,價值約1.75億美元。
值得注意的是,事件發生後,Kelp DAO與LayerZero陷入責任推諉。市場消息稱,Kelp DAO正準備備忘錄,將攻擊事件歸咎於LayerZero,認為其在跨鏈橋設置過程中,提供的文檔、默認配置及團隊指導存在問題;而LayerZero則反駁稱,Kelp DAO使用了危險的單驗證者配置,且無視其多次安全警告,雙方的爭執進一步凸顯了加密行業安全責任界定的模糊性。
DeFi安全漏洞頻發
Kelp DAO的驚天爆雷,並非2026年加密行業的個例。事實上,進入2026年尤其是4月份以來,加密行業安全事件呈現「爆髮式」增長,據不完全統計,僅一個月時間,就有至少13個加密協議和平台遭遇不同規模攻擊,累計損失超過6億美元,加密行業的安全防線正面臨前所未有的挑戰。
4月1日,Solana上最大的永續合約交易所Drift Protocol遭遇攻擊,攻擊者在12分鐘內盜走2.85億美元。4月10日,Hyperbridge因跨鏈證明驗證漏洞被攻擊,攻擊者偽造跨鏈消息,鑄造並拋售10億枚橋接DOT代幣,造成約250萬美元損失。4月16日,NEAR生態借貸協議Rhea Finance遭攻擊,總損失1840萬美元。而Kelp DAO2.92億美元的被盜事件,再次刷新了2026年DeFi安全事件的損失紀錄,讓整個行業陷入安全恐慌。
為何加密安全事件頻發,且損失規模不斷擴大?「許多安全事故表面上看是新場景、新協議出問題,實質上仍是權限管理、業務邏輯、組件依賴和升級控制等老問題,在複雜的跨鏈、再質押和可升級架構中多層嵌套,演化為更強的傳導效應。」於佳寧表示,行業長期更重視擴張速度和資本效率,對系統聯防、風險隔離和責任閉環投入不足,所以同類風險才會一再以更複雜的形式重複出現。
科方得諮詢機構負責人張新原向《華夏時報》記者表示,行業「效率優先」的野蠻生長模式是根本原因。「跨鏈橋等創新為了搶佔市場,往往犧牲安全冗餘,開源代碼的複製粘貼也導致同類漏洞反覆出現,再加上安全防禦多為事後補救,缺乏主動的攻防演練與實時監控體系,使得黑客有機可乘。」
他進一步表示,當前安全審計存在明顯局限,大多局限於核心合約代碼,忽略了跨鏈組件、預言機等外圍模塊,且動態風險難以通過靜態代碼審計覆蓋,部分項目方為追求上線速度,還會忽視審計報告的深度整改建議,讓審計報告淪為「營銷背書」。行業需從「應急響應」轉向「預防性安全」,建立共享漏洞庫與攻擊模式分析網絡。
高承遠補充道,激勵機制錯位和安全投入外部性,讓行業陷入「屢犯屢錯」的惡性循環。「對項目方而言,追求TVL增長和代幣發行的短期利益,遠重於投入資源做縱深安全防禦;對投資者而言,收益率才是決策核心,安全審計報告往往只是盡職調查的擺設。更關鍵的是,安全事件的成本並未被內部化,項目方即便遭遇攻擊,也能通過代幣增發、社區募資等方式轉移損失,真正承擔代價的是普通用戶和被動捲入的協議。」
此外,AI技術的發展也讓黑客攻擊變得更加便捷。Bankless聯合創始人Ryan Sean Adams警告稱,加密遭黑客攻擊的發生頻率已達到歷史最高水平,AI正在賦予黑客「黑暗的超能力」,而行業的防禦體系卻未能及時跟上,留給我們的時間已經不多了。
長期以來,加密行業過度追求創新速度和資本效率,將「去中心化」「可組合性」奉為圭臬,卻忽視了安全是行業發展的底線,導致「去信任」並未帶來「更安全」,反而因風險傳導機制的存在,讓單點漏洞演變為系統性危機。
於佳寧直言,跨鏈信任機制在現階段很難被徹底解決,安全攻防本身就是持續迭代的過程。新的技術架構、跨鏈方案和流動性組織方式不斷出現,攻擊手法也會同步演化,防禦體系很難形成一勞永逸的終局方案。尤其是DeFi協議應用高度疊加的情況,舊風險會在新場景中反覆變形、放大,因此行業需要建立持續審計、持續監測、持續響應、持續修正的動態治理能力。
在於佳寧看來,安全責任必須按控制權來劃分,開發和治理主體對代碼、權限和審計負責,審計機構對審計範圍和方法負責,橋、預言機等外部服務方對運行安全負責,平台和中介機構對風險揭示與應急處置負責。要從根源上破解責任模糊和追責困難,關鍵是把審計從營銷背書變成持續約束,強制披露審計邊界、剩餘風險和後續監測安排。
責任編輯:徐芸茜 主編:公培佳
-
-
-
-
-
-
-
-
-
-