KelpDAO 事件深度解析：DeFi 最大的風險，在基礎設施的隱性斷層

攻擊者本月透過 KelpDAO 的跨鏈橋抽走約 2.92 億美元，隨即將套取的代幣用作從未遭到攻擊的借貸協議之擔保品。這次事件清楚展示了 DeFi 中單點失敗如何瞬間演變為全局性危機，而隨著更多代幣化資產進入更廣泛的市場，其警示意義也將持續加深。

2026 年 4 月 18 日，攻擊者利用 KelpDAO 的跨鏈橋漏洞，盜取約 2.92 億美元的 rsETH（一種流動性再質押代幣）。此次攻擊被描述為今年迄今最大規模的 DeFi 攻擊事件，也是讓四月成為本年度加密市場最慘烈月份的一系列事件之一，累計損失估計逾 6 億美元。

然而，盜竊本身不過是起點。幾小時之內，被盜代幣已被用作 DeFi 幾大主要借貸協議的擔保品；這些借貸協議合約運作一切正常，卻在毫不知情的情況下，接收了攻擊者存入的無背書 rsETH，淪為損害的下游出口。

正因如此，Kelp 事件遠不止是一次跨鏈橋攻擊。它是一個教科書等級的案例，展示了一旦某個鏈上看似仍然有效的資產進入更廣泛的生態，損害擴散的速度有多快。同時也揭示了一個盲點：當代幣的可信度取決於另一個協議時，評估其真實安全性究竟有多困難。

KelpDAO 的單點失敗

KelpDAO 是一個再質押協議，其發行的 rsETH 是一種流動性再質押代幣，代表了透過 EigenLayer 進行再質押的 ETH。為實現 rsETH 的跨鏈流通，KelpDAO 採用了 LayerZero 的訊息傳遞基礎設施。被攻擊的路由依賴一套 1-of-1 去中心化驗證者網路（DVN）配置，意味著僅由單一驗證者負責審核跨鏈訊息，方可在以太坊端釋放代幣。

攻擊者並未直接攻擊 Kelp 的核心再質押合約，而是針對向該驗證者輸送資料的基礎設施下手。他們入侵了 DVN 所使用的兩個 RPC 節點，並將其軟體替換為會回報虛假交易資料的版本，同時對其餘正常節點發動分散式阻斷服務（DDoS）攻擊，迫使驗證者進入故障切換模式，導致系統最終只能讀取已被污染的資料來源。

這一操作令驗證者接受了一條偽造訊息——宣稱 rsETH 已在來源鏈上銷毀，可在以太坊端予以釋放。Kelp 的橋接合約隨即向攻擊者控制的地址釋放了 116,500 枚 rsETH（約占流通量的 18%），而背後實際上並無任何對應的資產支撐。數小時之內，這批代幣便被轉移至 DeFi 的其他版圖。

Kelp 與 LayerZero 目前仍在公開爭議各自的責任歸屬。LayerZero 表示，曾警告 KelpDAO 應採用多驗證者架構；KelpDAO 則指出，1-of-1 驗證者配置完全符合 LayerZero 自身的預設文件與快速入門指引。LayerZero 此後已宣布，將不再為使用單一驗證者配置的應用程式簽署訊息。

這場爭議在治理層面以及損失由誰承擔的問題上，都至關重要。

但無論如何，它改變不了一個事實：無資產背書的 rsETH 在鏈上看起來依然有效，並得以被轉移、存入，並獲各協議接受。rsETH 的可信度，取決於一套普通市場審查機制無法觸及的基礎設施。

該代幣具備流動性、有價格、並整合至多個主要協議。唯一缺失的，是在驗證其所代表的 ETH 是否真實存在這一關鍵環節上，冗餘機制的嚴重缺失。

正是在這一刻，攻擊事件不再只是 Kelp 的問題，而演變為整個市場的麻煩。

損害落地何處

代幣釋出之後，攻擊者並未選擇直接砸盤，而是將其用作擔保品。

DeFi 最大借貸協議 Aave 的曝險程度似乎最為嚴重。攻擊者以無背書的 rsETH 在 Aave 上借出約 1.9 億美元的 Wrapped ETH（WETH），待事件規模曝光後，隨即引發流動性的大規模撤離。

關鍵在於，Aave 本身從未遭到攻擊。其合約的運作完全符合設計邏輯。儘管如此，它仍被動地持有著已名不副實的擔保品。

Aave Labs 與 LlamaRisk 發布的事件報告估計，Aave 的壞帳規模將落在 1.237 億美元至 2.301 億美元之間，最終數字取決於損失如何分攤。若損失由全體 rsETH 持有者共同承擔，每人分攤的金額將較小，但覆蓋面更廣；若損失僅限於 Layer 2 網路，則相關網路將承受較為集中且嚴峻的衝擊。

Kelp 如何變成所有人的難題

DeFi 的可組合性常被視為其核心優勢之一，即一個協議的輸出，成為另一個協議的輸入，資產得以跨平台流動，資本效率亦得以最大化。

Kelp 事件揭示的，正是這套設計的另一面。

rsETH 並非一個邊緣化的冷門代幣。它已整合至多個協議、通過風險框架的審核、受預言機定價，並被不同槓桿策略的存款人廣泛使用。當跨鏈橋釋放出無背書的 rsETH 後，每一個將其視為有效質押 ETH 憑證的平台都承擔了此不復存在之資產的曝險。

從某種意義上說，可組合性的運作完全符合設計初衷，只是方向完全反了。健康的輸入讓系統更有效率；輸入一旦崩壞，損害就沿著同一套連結向外蔓延。

此次事件中，借貸協議首當其衝，因為攻擊直接指向借貸場景，而借貸正是代幣假設遭到顛覆後，損失最快浮現、最易量化的環節。

但根本性的失敗發生得更早，在代幣停止代表市場所認知之物的那一刻，一切便已埋下伏筆。

為何影響超出 DeFi 的範疇

KelpDAO 此次攻擊的直接損失，目前仍由 DeFi 原生參與者承擔。然而，Kelp 所暴露的失敗模式，並不專屬於 DeFi 借貸市場。

任何代幣化資產都攜帶著一個隱含主張：代幣代表其背後的資產。這一主張成立的前提，是將代幣與其支撐資產相連結的基礎設施保持完好。rsETH 的情況是，這條連結斷裂了，儘管代幣在鏈上仍然顯示為有效。

代幣化市場的吸引力，恰恰在於可編程擔保品、更快的結算效率，以及全天候的流動性。然而，這同時也要求更多的價值流經共享軌道與基礎設施層，而許多市場參與者迄今仍將其視為次要問題。

這一議題的影響將日益超越 DeFi 原生市場的邊界。目前已有聲音指出，此次事件的餘波可能促使大型機構在重新評估安全風險後，放緩代幣化佈局的步伐。這並不令人意外，代幣化債券、存款及其他現實世界資產正逐步遷移至鏈上環境；而在這個環境中，參與者（特別是機構法人）必須能夠確信該代幣確實代表其所宣稱之資產。

損害控制的進程已開始向 Aave 以外蔓延。受波及的 Layer 2 網路之一 Arbitrum 本週透過安全委員會緊急行動，凍結了與攻擊相關的約 30,766 枚 ETH。此舉或許有助於降低最終損失，但也再次提醒我們，一旦此類失敗開始蔓延，最終走向將不再僅由程式碼決定，而是取決於治理機制與緊急干預——而在一個標榜去中心化的系統中，這類決策本身就極具爭議。

KelpDAO 攻擊事件並不代表代幣化資產在本質上是不可靠的，但它確實說明了任何代幣的可信度，終將取決於一套往往低於大多數市場參與者主動評估範疇的底層基礎設施。

隨著鏈上資產規模持續擴大，那些長期潛藏於資產之下的隱性風險，將愈來愈難以被市場所忽視。