重磅：Kelp DAO 遭約2.92億美元攻擊失竊　Aave 等平台凍結 rsETH 市場

流動再質押協議 @KelpDAO 今日遭黑客抽走 116,500 枚 rsETH，按當時市值約值 2.92 億美元。攻擊者隨即把贓幣在 @aave、Compound V3 及 Euler 之間快速周轉，借出逾 2.36 億美元的 $wETH。 事件於 17:35 UTC 開始。攻擊者在 EndpointV2 合約上呼叫 LayerZero 的 lzReceive 函數，發送偽造跨鏈封包，誘使 Kelp 的橋接系統向多個錢包放行 rsETH；相關地址據報先以 Tornado Cash "預充值"。鏈上調查員 @zachxbt 於美東時間下午 3 點前不久率先示警。 Kelp 的緊急多簽暫停機制於 18:21 UTC 啟動，距離首次被抽走約 46 分鐘。其後在 18:26 及 18:28 UTC 出現兩次追加嘗試，均告失敗並回滾；每次目標為再抽走 40,000 枚 rsETH，約值 1 億美元。 本次失竊規模約佔 rsETH 約 63 萬枚流通量的 18%。由於 rsETH 已部署於逾 20 條網絡，市場關注 L2 上各類封裝版本的資產支持狀況。 @aave、SparkLend、Fluid 及 @upshift_fi 已凍結 rsETH 相關市場。Aave 創辦人 Stani Kulechov 表示協議合約未被入侵，rsETH 亦"沒有借貸能力"。Aave 的 Umbrella 後備機制（於 2025 年底取代舊有 Safety Module）正面臨首次大型真實壓力測試。 其他協議亦採取防禦措施：@LidoFinance 暫停 earnETH 存款；@ethena_labs 雖無 rsETH 敞口，仍預防性暫停其 LayerZero OFT 橋約 6 小時。 消息拖累 $AAVE 一度下挫約 10%。按金額計，今次事件亦超越 4 月 1 日 @DriftProtocol 約 2.85 億美元、被指與北韓有關的黑客事件，成為 2026 年迄今最大宗 DeFi 攻擊。