2.92亿美元DeFi巨鲸被盗，Kelp DAO安全漏洞波及Aave引发行业震荡

DeFi安全警报：Kelp DAO遭重创，2.92亿美元资产瞬间蒸发

4月19日凌晨，去中心化金融（DeFi）领域再添一笔巨额损失记录。第二大流动性质押协议Kelp DAO遭遇严重安全漏洞，其基于LayerZero的rsETH跨链桥接合约被恶意利用，导致高达116,500枚rsETH（约合2.92亿美元）资产被盗。这一事件迅速在加密社区引发震动，并波及了包括Aave在内的多个头部借贷平台。

攻击手法剖析：源链私钥失守是根源

链上数据分析揭示了此次攻击的路径。攻击者地址在事发前约10小时，从隐私协议Tornado Cash获得了1 ETH的初始资金。随后，该地址通过调用LayerZero EndpointV2合约的特定函数，触发了Kelp DAO桥接合约的漏洞，成功将巨额rsETH转移至其控制的其他地址。

多家安全机构的事后分析指向了同一个核心问题：源链私钥被攻破。D2 Finance指出，攻击信息来自Kelp DAO自身合法部署的对端合约，且该路径已有数百条历史记录，这表明攻击并非源于合约代码本身的漏洞，而是密钥管理环节的失效。进一步的技术细节显示，该桥接合约仅由一个“1/1验证者集合”守护，这种单点验证模式意味着一旦验证者密钥泄露或发出错误交易，整个系统的安全便形同虚设。

连锁反应：黑客借道头部借贷协议套现，Aave或面临坏账危机

由于rsETH市场流动性不足，攻击者采取了更为复杂的资产转移策略。他们将盗取的rsETH作为抵押品，存入包括Aave V3、Compound V3和Euler在内的多个主流借贷协议，并借此借出了流动性极高的Wrapped ETH（WETH）。据PeckShield监测，由此产生的债务总额已超过2.36亿美元，其中仅Aave平台上的债务就高达1.96亿美元。

这一操作将Kelp DAO的安全事件风险，直接传导至了借贷协议的用户和资金池。Aave团队在事件发生后迅速冻结了其V3和V4市场上的rsETH交易，并发布声明强调自身合约未受攻击，但正积极评估可能产生的坏账影响。Aave在后续更新中表示：“若协议因此次事件累积坏账，我们将探索弥补赤字的途径。”

业内对潜在坏账规模的评估存在分歧。Spark协议战略主管monetsupply.eth警告，考虑到rsETH供应量近20%被盗及可能存在的循环借贷，Aave的坏账规模可能超过1亿美元。而Aave核心治理团体ACI创始人Marc Zeller则认为实际数字“远小于此”。目前，Aave的自动安全模块“Umbrella”资金池持有约5000万美元的WETH，这笔资金或将用于冲抵部分损失，但其充足性仍存疑问。受事件波及，AAVE代币价格应声下跌近10%。

四月安全阴云：DeFi巨轮频触暗礁

本次事件是四月份第二起损失超过2.8亿美元的DeFi安全案件。月初，Solana生态的Drift Protocol同样遭受攻击，损失金额相近。尽管事后有机构承诺注资赔付，但接连发生的亿级漏洞不断拷问着DeFi基础设施的整体安全性。从智能合约代码到跨链桥设计，再到私钥管理，攻击面正在不断扩大。

市场资讯部视点

本次Kelp DAO事件清晰地暴露了DeFi乐高堆叠模式下的系统性风险。一个二线协议的跨链桥漏洞，通过资产抵押的传导机制，竟能威胁到Aave这样的顶级借贷协议的偿付能力，这凸显了DeFi生态的紧密耦合性与风险传染性。事件根源在于过于中心化的密钥管理与单点验证机制，这违背了去中心化的核心精神。对于行业而言，这不仅是又一次昂贵的安全课，更是一次深刻的架构反思。投资者需重新评估“将资金集中于头部协议即安全”的惯性认知，协议开发者也必须将互操作场景下的风险隔离与熔断机制纳入核心设计。短期阵痛难免，但唯有推动安全范式从“单点防护”向“系统免疫”升级，DeFi才能真正走向成熟。