KelpDAO遭黑客盗走2.92亿美元,Aave或面临1.77亿美元坏账风险

KelpDAO遭黑客盗走2.92亿美元,Aave或面临1.77亿美元坏账风险

N
News Editor 01
2026-07-07 08:25:46
黑客通过Tornado Cash资助钱包后,利用跨链流程从KelpDAO转出11.65万枚rsETH,价值约2.92亿美元,并将其存入Aave借出ETH,令Aave面临最高1.77亿美元坏账风险。

KelpDAO近日遭遇一起重大安全事件。一名攻击者先通过Tornado Cash的1 ETH资金池为作案钱包注入Gas费用,约10小时后发起攻击,最终通过一笔交易从KelpDAO相关跨链流程中转出116,500枚rsETH,按当时价格计算价值约2.92亿美元。事件曝光后,KelpDAO迅速启动紧急暂停机制,但在协议完成全面冻结前,资金已被转移。

攻击路径指向跨链消息与桥接释放环节

根据披露信息,攻击钱包调用了LayerZero的EndpointV2合约中的lzReceive函数,随后KelpDAO的OFT桥接机制向另一个攻击者地址释放了被盗的rsETH。这意味着,攻击并非传统意义上的私钥泄露,而更像是围绕跨链消息处理与资产释放逻辑展开的精准利用。

更值得警惕的是,攻击者在首次得手后并未立即收手,而是又发起了两次新的尝试,每次目标均为40,000枚rsETH,合计价值接近1亿美元。不过,这两次交易最终均被回滚。原因在于KelpDAO的紧急多签账户已提前执行pauseAll操作,冻结了LRT Deposit Pool、Withdrawal合约、LRT Oracle以及rsETH代币本身。

从时间线看,首次成功攻击与协议完成暂停之间相隔46分钟;而在暂停完成后,仅5分钟,攻击者的后续尝试便再次到来。这说明黑客对攻击窗口的把握非常精确,KelpDAO此次虽然未能避免首笔重大损失,但至少阻止了更大规模的资金外流。若后两次攻击同样成功,理论上的总损失可能达到约3.91亿美元

被盗rsETH约占流通量18%

此次被盗的116,500枚rsETH约占其总流通供应量63万枚18%。rsETH是基于EigenLayer生态的流动性再质押代币,已部署在20多个网络之上,包括Base、Arbitrum、Linea、Blast、Mantle和Scroll等。正因其跨链分布广、DeFi集成度高,一旦发生安全事件,影响面往往不局限于单一协议。

KelpDAO在事发后于X平台表示,团队发现了与rsETH相关的可疑跨链活动,已暂停主网及多个L2网络上的rsETH合约,并正与LayerZero、Unichain、审计机构及安全专家合作进行根因分析。值得注意的是,KelpDAO首次公开声明距离资金被转走已超过两个半小时,这也在一定程度上反映出复杂跨链攻击在识别、确认和响应上的现实难度。

Aave被卷入,坏账风险迅速升温

事件的连锁反应并未止于KelpDAO本身。链上数据显示,攻击者并未简单持有这些rsETH,而是将其存入Aave V3作为抵押品,进一步借出大量ETH和WETH,并将相关资金重新经由Tornado Cash进行混淆处理。这一步骤使原本的桥接攻击,演变为可能冲击借贷协议资产负债表的系统性问题。

按照现有披露,Aave V3可能面临最高1.77亿美元的坏账敞口。Aave随后宣布,已在Aave V3和V4上冻结所有rsETH相关市场,并强调漏洞存在于rsETH侧,而非Aave自身合约。与此同时,Aave团队也表示,正在审查攻击发生后在平台上产生的rsETH借贷行为,并探索可能的损失覆盖方案。

这类情况在DeFi中极具代表性:当某一资产在外部协议中遭遇安全事件时,若该资产已被广泛用作借贷抵押品,风险就会迅速向其他协议扩散。也就是说,单点漏洞可能通过可组合性放大为多协议风险,这正是当前DeFi生态最棘手的问题之一。

市场反应:Aave与ETH双双承压

受事件影响,Aave代币当日下跌10.65%103.86美元,而以太坊价格也下挫约3%,报2,358.24美元。虽然ETH的回落未必完全由此事件单独驱动,但KelpDAO攻击显然加剧了市场对DeFi安全风险和抵押品质量的担忧。

从市场心理层面看,投资者最关注的并不只是被盗金额本身,而是三个后续问题:其一,rsETH在多链和多协议中的流动性是否会进一步恶化;其二,Aave的潜在坏账最终由谁承担;其三,KelpDAO是否能够通过追踪、冻结、协商或其他方式追回部分资产。在这些问题得到更明确答案前,相关资产可能持续承受波动压力。

区块链调查员ZachXBT在事件发生后不到一小时便在Telegram发出预警,指出KelpDAO在以太坊和Arbitrum上疑似有超过2.8亿美元资产被盗,并确认相关黑客地址由Tornado Cash提供初始资金。随着更多链上数据被交叉验证,此次事件的技术细节和资金流向预计仍会持续更新。

整体来看,这起事件已成为2026年规模第二大的加密货币黑客攻击之一。在此前Drift Protocol遭遇约2.86亿美元攻击后,市场原本就对DeFi安全高度敏感,而KelpDAO事件再次提醒行业:跨链基础设施、再质押资产以及借贷协议之间的深度耦合,正在让安全事件拥有更强的外溢性。短期内,rsETH及相关协议或将进入风险处置与信用修复阶段;中长期看,市场可能进一步要求项目方提升跨链验证、紧急暂停机制和抵押资产风控标准。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
100

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。