2.93亿美元蒸发!Kelp DAO遭史上最大DeFi黑客袭击,Aave百亿资金出逃
2026-04-20 11:43:20
2.93亿美元,46分钟,一次不需要一行代码漏洞的完美劫掠。4月18日,Kelp DAO遭史上最大DeFi黑客袭击,攻击者利用LayerZero跨链桥的DVN配置缺陷,凭空铸造并盗走116,500枚rsETH。更致命的是,黑客随即以盗取资产抵押,从Aave借出2.36亿美元真实ETH,引发Aave百亿资金出逃,全网存款总额单日蒸发逾百亿美元,造成DeFi史上代价最高的黑客袭击。
Kelp DAO遭史上最大DeFi黑客袭击,数据快照
46分钟,三步棋,一场外科手术式的劫掠
Kelp DAO遭史上最大DeFi黑客袭击,我们的观点是:这不是一次盗币,这是一次精准的系统性欺诈。
第一步:伪造
攻击者调用了LayerZero EndpointV2合约上的lzReceive函数,传入一个伪造的跨链数据包。Kelp DAO的桥接合约未对消息来源进行严格校验,便执行了释放。116,500枚rsETH凭空诞生。
第二步:套现
偷来的rsETH大部分存入Aave V3作为抵押,借出真实WETH;小部分直接出售兑换ETH。通过抵押和出售,黑客共获得约106,466枚ETH,价值约2.5亿美元。Aave产生约1.77亿至1.96亿美元坏账,Compound产生约3,940万美元坏账,Euler产生约84万美元坏账。
第三步:撤离
攻击者在当天带着2.36亿美元的WETH撤场。干净、利落、不留痕迹。
Kelp的紧急多签在46分钟后按下了暂停键,18:26和18:28,攻击者又发起了两次试图再提走40,000枚rsETH(约1亿美元)的LayerZero数据包,两次都被拒绝执行。如果不是那46分钟后的冻结,今天的故事会更长。
Aave百亿出逃:多米诺骨牌的无声倒塌
Kelp DAO遭史上最大DeFi黑客袭击,这场攻击的破坏力,并不止于被盗的2.93亿美元。它像一颗石子投进池塘,涟漪还在扩散。
Aave百亿出逃
我们注意到,黑客以非法铸造的rsETH在Aave抵押借出大量WETH后,恐慌迅速蔓延。Aave净撤资金额一度达到62亿美元,存款总额从约458亿美元降至357亿美元,单日蒸发逾百亿美元。WETH市场利用率一度触及100%,部分存款人被锁定无法提现。
截至发稿时,AAVE代币93.27美元
AAVE代币在24小时内振幅高达26.5%,从高点113.19美元最低跌至89.51美元。截至发稿时,AAVE代币93.27美元。 多个巨鲸地址紧急抛售,累计抛售近6万枚AAVE代币,知名巨鲸「ThisWillMakeYouLoveAgain」亏损超过600万美元割肉离场。
Aave未来路径推演
这起2.93亿美元的Kelp DAO黑客事件为DeFi行业敲响了沉重警钟。 对Aave而言,Aave现在面临三条路,条条是死胡同。
| 处置路径 | 坏账规模 | 核心缺陷 | 影响范围 |
|---|---|---|---|
| 社会化分摊 | 约2.16亿美元,Umbrella保险覆盖5500 万国库出资8500万,剩约7600万缺口 | 所有用户资产减值18.5% | Aave全网约66.6 万枚rsETH抵押 |
| L2 Rug Pull | 约3.41亿美元(Umbrella无法覆盖) | 放弃Arbitrum、Mantl eBase等L2市场,生态信誉崩塌 | Aave L2约3.59亿 美元rsETH抵押 |
| 路攻击前快照 | 约9,100万美元(Umbrella覆盖后) | 技术执行几乎不可 能无法区分存款人批次 易引发法律争议 | 黑客主网借1.24亿 Arbitrum借1,800万 |
以上数据来源:DeFiLlama创始人0xngmi推演
我们认为,无论Aave选择哪条路,损失都是确定的——差别只在于谁来买单。
社会化分摊看似最公平,但约7,600万美元缺口仍悬而未决;L2 Rug Pull对主网冲击最小,但会让Aave的信誉在L2生态中灰飞烟灭;攻击前快照最正义,但执行难度让它在现实层面几乎不可行。Kelp DAO可能通过借贷或出售自身持有的Aave代币(当前市值约5,100万美元)来填补部分缺口,但这无异于杯水车薪。
我们推测,最终买单的,大概率还是普通用户。
DeFi安全路在何方:我们的观点
2.93亿美元,46分钟,0行代码漏洞。
这是2026年迄今为止最大的一笔DeFi失窃案,但真正让行业脊背发凉的,不是这个数字,而是它的叙事方式:一场不需要代码漏洞的攻击,完成了一次系统性的金融欺诈。审计通过了,合约没问题,但城还是塌了。
我们的观点是,DeFi的防御体系,已经等不起了。
DVN配置漏洞暴露的不是某个协议的疏忽,而是整个行业安全审计范式的结构性缺陷。当漏洞可以藏在部署参数里、藏在节点密钥管理里、藏在跨链协议的配置菜单里,传统的找代码漏洞式审计就变成了一种自欺欺人。
2026年一季度DeFi领域黑客攻击总损失约1.68亿美元,而仅此一役,全年累计DeFi损失便跃升至4.5亿至4.82亿美元,波及约45个协议。
我们需要一套全新的安全思维框架,从“找代码漏洞”转向“验配置参数”,从“审计合约”扩展到“审计运营”,从“事后冻结”升级为“事前防御”。
AI正在加速攻击,但AI同样可以加速防御。关键在于,行业是否愿意正视这个结构性盲区,并为此投入足够的技术与制度成本。
否则,2.93亿美元,不会是终点。
以上内容是关于《2.93亿美元蒸发!Kelp DAO遭史上最大DeFi黑客袭击,Aave百亿资金出逃?》的解析,了解Kelp DAO遭史上最大DeFi黑客袭击最新资讯请关注币百科。
免责声明:请读者严格遵守所在地法律法规,本文内容基于市场公开资料整理仅供参考,不构成任何投资建议。
相关阅读
什么是加密货币预售?2026年下半年值得关注的加密预售项目有哪些?
2026-05-13
美国公布CLARITY法案最新文本,参议院周四表决究竟利好谁?
2026-05-13
2026年5月比特币价格展望:月涨15%破8万美元,牛归或陷阱?
2026-05-13
什么是VVV币?7天暴涨78%,通缩销毁+AI热钱还能推多高?
2026-05-12
虚拟货币钱包是什么?2026年5月安全好用10大虚拟货币钱包推荐
2026-05-12
法国反超西班牙领跑2026世界杯冠军预测市场,资本信号可靠吗?
2026-05-11
昔日币圈玩家日赚斗金,中国加密交易所为何一夜之间集体消失?
2026-05-11
