Kelp DAO 桥遭利用事件导致 $293M 铸造，Aave 留下超过 $200M 的不良债务

Gate 新闻消息，4 月 19 日——4 月 18 日 17:35 UTC，攻击者利用 Kelp DAO 基于 LayerZero 的跨链桥漏洞，释放 116,500 rsETH (大约 $293 百万美元，约占该代币流通供应量的 18%) 到攻击者可控的钱包，而未锁定相应的 ETH。随后，攻击者将未兑付的 rsETH 作为抵押存入 Aave V3 和 V4，并以此借入真实的包装以太币 (WETH)。在 Kelp 的紧急多签于 46 分钟后冻结该协议时，WETH 已被提取。

该跨链桥漏洞使攻击者能够提交一条经过验证检查通过的特制消息，尽管源链上并没有实际存款。18:26 和 18:28 UTC 的两次追加尝试各计划再抽走 40,000 rsETH，但在暂停被触发后都被撤销。

目前，Aave 的不良债务规模在 $177 百万美元到 $236 百万美元之间，主要集中在以太坊上的 rsETH/WETH 这对资产。平台的总锁仓价值 (TVL) 约下跌 $6 十亿；WETH 市场利用率达到 100%(从而阻止进一步提款)，AAVE 代币下跌超过 18%。Aave 的伞形保险基金持有约 $50 百万美元，仍留有显著缺口。由于 rsETH 抵押品无法被赎回，且在未兑付供给被完全确认之前不会贴近锚定价，因此借款头寸实际上无法被清算。

SparkLend、Fluid 和 Upshift 在数小时内暂停或冻结了 rsETH；Morpho 的隔离市场架构将暴露限制在约 $1 百万美元，覆盖两个市场。跨越 20 多条链的 rsETH 目前面临支撑不确定性，直到 Kelp 发布一份将储备与未偿还供应进行核对的报告。该漏洞事件是 2026 年规模最大的 DeFi 事件，截至目前，当年累计 DeFi 损失约在 $450 百万美元到 $482 百万美元之间，覆盖大约 45 个协议。