KelpDAO 遭黑客盜走約 2.92 億美元；DeFi 安全風暴下 Aave 觸發逾 54 億美元撤資

BlockBeats 報道，4 月 19 日凌晨，多鏈流動質押平台 KelpDAO 遭到攻擊。黑客透過 KelpDAO 基於 LayerZero 的跨鏈橋提走 116,500 枚 rsETH，按市值折合約 2.92 億美元，成為 2026 年迄今最大宗 DeFi 安全事件。 約 46 分鐘後，KelpDAO 緊急回應，暫停 multisig 並凍結核心模組，包括 LRT 存款池、提現合約、預言機及 rsETH 代幣。KelpDAO 表示已偵測到 rsETH 相關的異常跨鏈活動，已在主網及多個 L2 暫停相關合約，並與 LayerZero 等合作進行根因分析。 黑客其後兩次嘗試再度提走資產均告失敗，暫停措施阻止了進一步損失。據稱黑客曾試圖額外轉移 40,000 枚 rsETH（約 1 億美元），若成功，總損失或升至約 3.91 億美元。 事件外溢至借貸市場。黑客在 Aave、Compound、Euler、Fluid 等多個借貸協議進行槓桿借款，令多個平台出現壞帳。其中 Aave 壞帳約 1.77 億美元，Compound 約 3,940 萬美元，Euler 約 84 萬美元。Aave 受影響最深，表示已凍結 V3 與 V4 的 rsETH 市場，並強調事件源於 rsETH 資產本身，而非協議智能合約漏洞。Aave 正評估事件後建立的借貸倉位，並稱若協議出現壞帳，將「探索彌補缺口的方案」。 資料顯示，黑客把大部分被盜 rsETH 存入 Aave 作抵押借出 ETH，另有少量 rsETH 直接兌換成 ETH。透過抵押借貸及拋售，黑客合共取得 106,466 枚 ETH，按市值約 2.5 億美元。 風險擴散下，Aave 在黑客以非法鑄造的 rsETH 抵押大量借出 ETH 後，觸發市場緊急撤資，累計從 Aave 提走逾 54 億美元資產。當中 Justin Sun 提走 65,584 枚 ETH（約 1.54 億美元）。Aave 的 ETH 利用率一度升至 100%。 Curve 創辦人 Michael Egorov 發文指出，事件凸顯廣泛採用的「非隔離借貸」模式所內含的風險：該模式擴展性強但風險更高，風控變得關鍵；Aave v4 的 hub-and-spoke 架構或是邁向「半隔離」與更安全設計的一步。 加密 KOL benmo.eth 認為，KelpDAO 的 rsETH 失竊影響深遠，打破市場對 Aave「安全近乎無敵」的觀感，並促使大型鯨魚重新評估統一借貸市場的風險；Aave V4 及模組化借貸或成為趨勢，並可能加速轉型。DeFi 或將由擴張轉向更保守的安全框架，並需正面應對由 AI 驅動的安全威脅，例如 Anthropic Mythos。 Bankless 聯合創辦人 Ryan Sean Adams 則表示，加密黑客事件的頻率已創歷史新高，他認為與 AI 有關：AI 正賦予黑客「黑暗超能力」，防禦必須盡快追上，「時間已不多」。