#KelpDAOBridgeHacked

2026年最大DeFi漏洞——Kelp DAO的rsETH橋被盜走$292 百萬
2026年4月18日，約UTC17:35，流動性再抵押協議Kelp DAO在其由LayerZero支持的跨鏈橋中遭遇重大安全漏洞。攻擊者成功提取了116,500個rsETH (再抵押以太幣)，價值約2.92億至2.93億美元。這一數量約佔rsETH總流通量的18%，並成為2026年迄今為止最大的一次DeFi黑客事件。
攻擊過程詳解
Kelp DAO的rsETH橋依賴LayerZero的跨鏈訊息傳遞基礎設施，特別是EndpointV2合約，以實現不同區塊鏈之間的資產無縫轉移。攻擊者利用此點，調用lzReceive函數並注入偽造的跨鏈訊息。這個被操控的訊息欺騙橋的驗證邏輯，使其相信來自其他網絡的資金已經到達，從而直接向攻擊者控制的地址釋放了116,500個rsETH。
用於此次攻擊的錢包約在10小時前通過Tornado Cash資助——這是一種常見的模糊交易來源的技術。該橋在以太坊主網和多個Layer-2網絡（包括Arbitrum）上運行，促成了快速的跨鏈影響。分析師指出，過度依賴LayerZero的預設配置和文件說明也是促成因素之一。
Kelp DAO的迅速反應
Kelp DAO團隊迅速察覺到異常活動並發表聲明：
“我們發現涉及rsETH的跨鏈可疑活動。調查仍在進行中，我們已暫停主網和多個L2網絡上的rsETH合約。我們正與LayerZero、Unichain、審計團隊及安全專家密切合作，進行根本原因分析。”
通過立即暫停rsETH合約，該協議阻止了可能的後續資金外流，估計額外損失達$100 百萬或更多。然而，流動性損失嚴重影響了rsETH的價值，並使包裝ETH資產在超過20條不同鏈上陷入困境。
多米諾效應與DeFi流動性危機
此次黑客事件引發了DeFi生態系統的廣泛“擠兌”。主要借貸平台如Aave啟動緊急市場凍結，約$9 十億(美元的TVL（總鎖倉價值）被提取，並產生約1.96億至2.36億美元的壞帳。類似的流動性壓力也波及SparkLend、Fluid、Upshift、Morpho等協議。
整體DeFi的TVL在48小時內下降了80億至130億美元，甚至在某些Solana池中也觀察到壓力。這一事件再次凸顯跨鏈橋作為DeFi基礎設施中最脆弱的組件之一。在2026年4月，黑客事件的總損失已超過)百萬，而Kelp DAO事件的損失更是超越了三週前由Drift Protocol事件創下的約2.8億至2.86億美元的紀錄(。
Lazarus集團的猜測與持續調查
多家安全公司和鏈上分析師提出可能與朝鮮相關的Lazarus集團有關的聯繫，LayerZero也發出相關信號，但尚未正式確認。部分被盜資金已被兌換成ETH，並在以太坊和Arbitrum上進行隱藏追蹤；追蹤工作仍在進行中。
行業教訓
Kelp DAO橋的黑客事件凸顯了流動性再抵押和全鏈橋架構中固有的重大風險。儘管LayerZero及類似方案提供了強大的互操作性，但它們仍易受到單點故障和訊息偽造攻擊的威脅。
Kelp DAO承諾在調查結束後發布詳細的事後分析報告。對於DeFi用戶和開發者來說，這次事件是一個嚴峻的提醒：必須加強橋接安全、實施多驗證系統，並完善緊急應對措施。