2.92亿美元漏洞引发恐慌:KelpDAO遭攻击致DeFi市场100亿美元大撤离

2.92亿美元漏洞引发恐慌:KelpDAO遭攻击致DeFi市场100亿美元大撤离

N
News Editor 01
2026-07-06 21:25:39
KelpDAO桥接漏洞导致2.92亿美元rsETH被盗,触发DeFi挤兑效应,总锁定价值骤降100亿美元。Aave等主流协议冻结相关市场,社区呼吁加强跨链安全机制。

周末,一场针对KelpDAO跨链桥的2.92亿美元漏洞攻击引发了去中心化金融市场的恐慌性撤离。据DeFiLlama数据,截至发稿时,DeFi行业的总锁定价值(TVL)在短短数小时内暴跌约100亿美元,从约990亿美元降至890亿美元,跌幅达10%。多个主流协议紧急冻结与rsETH相关的市场,以遏制风险蔓延。

攻击细节:伪造消息突破单一验证路径

攻击发生于上周六晚,黑客通过KelpDAO的跨链桥盗取了约116,500枚rsETH,当时价值约2.92亿美元。KelpDAO是一种流动性再质押平台,用户存入ETH后获得代表其存款的rsETH代币,平台再将ETH部署至EigenLayer以获取额外收益。此次漏洞使其成为2026年迄今最大的DeFi攻击事件。

Yearn Finance核心开发者Banteg分析指出,攻击直接针对Unichain至以太坊主网的桥接路径。黑客伪造了一条被系统视为有效的消息,促使以太坊端的适配器释放了预存的rsETH储备。该路径配置为“一对一”的分散验证器网络,缺乏备用验证器来标记异常交易。恶意交易(nonce 308)于17:35 UTC通过验证并执行。KelpDAO的多签紧急钱包随后冻结了核心合约,成功阻止了后续两笔总计约1亿美元的进一步盗取尝试。被盗资金已通过Tornado Cash混币器流转,增加了追踪难度。

被盗的rsETH储备支撑的代币流通于Base、Arbitrum、Linea等多个二层网络,导致这些网络上的rsETH持有者面临赎回到账的不确定性,恐慌情绪迅速蔓延。

Aave承受最大冲击:借贷市场遭遇银行挤兑

最严重的连锁反应发生在最大加密借贷平台Aave。黑客将盗取的rsETH作为抵押品存入Aave,而平台的价格预言机在此期间仍按正常价格读取rsETH,导致Aave批准向黑客发放了106,467枚ETH贷款,形成约2.36亿美元的潜在坏账风险。消息传出后,用户争相提款,Aave的TVL从超过260亿美元骤降至约200亿美元,创下近期最大单日跌幅。

链上数据显示,大型ETH持有者加速了撤离。例如,TRON创始人孙宇晨在一次交易中提取了超过65,580枚ETH(约1.54亿美元)。随着提款激增,Aave的ETH利用率达到100%,意味着所有可用ETH要么被借出要么被提取。AAVE治理代币价格也暴跌18%以上,鲸鱼账户大量抛售:Lookonchain监测到地址smaugvision卖出20,000枚AAVE换得206万美元,另一投资者卖出类似数量,第三位鲸鱼则卖出近19,700枚AAVE换取打包比特币和ETH。

为应对危机,Aave迅速冻结了V3和V4版本上的rsETH市场。创始人Stani Kulechov表示:“rsETH在Aave V3和V4上已被冻结,该资产不再具有借贷能力。这是针对KelpDAO桥接漏洞的外部措施,Aave自身并无进一步风险敞口。”

传染效应扩散:多个协议冻结rsETH市场

除Aave外,其他DeFi协议也遭受外溢冲击。DeFiLlama创始人0xngmi报告称,事件导致DeFi板块整体TVL下降100亿美元(含Aave的60亿美元)。多个平台迅速降低对rsETH的敞口:Lido、SparkLend、Fluid、Compound、Euler等至少八家协议冻结了rsETH借贷市场。分析师Ignas警告:“LayerZero可能也受影响,因为rsETH从L2桥接而来,L2上的rsETH现在可能一文不值。”合成美元协议Ethena则暂时暂停其LayerZero桥接功能,并声明对rsETH无任何风险敞口。

这些行动反映出rsETH在DeFi中的深度嵌入——它被广泛用于借贷、金库产品和抵押策略,而这些策略高度依赖跨链转移的顺畅和储备支撑的信心。一旦信心动摇,资本撤离速度惊人,一个桥接漏洞即可在数小时内冲击多个市场。

行业反思:如何防范桥接攻击与快速去杠杆

Bitwise的多策略解决方案主管Jonathan Man表示:“这是又一次挫折,但我们可以更强地反弹。行业需要集体提升安全基线,确保未来金融建立在稳固基础上。”社区广泛讨论了借贷协议和代币发行方如何限制桥接漏洞的破坏力。

Monad联合创始人Keone Hon提出,借贷协议应考虑对资产存入和抵押速度实施速率限制。例如,某项资产当前流通市值1亿美元、协议上限3亿美元,则不允许一次性达到上限,而应在设定时间内逐步提升。这样可压缩攻击者通过无限铸造漏洞向借贷平台倾销的出口路径。他举了Hyperbridge DOT漏洞和Resolv事件的例子,二者因出口受限而将损失控制在较低水平。

Ethena创始人Guy Young赞同该观点,并建议发行方在铸造和赎回层也加入速率限制,并在LayerZero的OFT标准之上定制节流阀。这些讨论表明,行业正从单纯追责转向设计更抗单点故障的基础设施。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
200

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。