没有任何公告,没有任何预警。2026年4月18日03:41 UTC,116,500枚rsETH在链上异常移动。2026年最大规模DeFi攻击事件就此悄然开始,没有爆炸声,只有一笔看似正常的操作。
安全事件报告
协议
Kelp DAO (rsETH Bridge)
被盗金额
2.92亿美元(116,500枚rsETH)
链
以太坊主网 + 20余条L2(Base、Arbitrum、Linea、Blast、Mantle、Scroll)
时间
2026年4月18日 03:41 UTC
攻击向量
攻击者利用基于LayerZero构建的跨链桥漏洞,该跨链桥管理着20余条区块链上的rsETH储备。攻击者借此将116,500枚rsETH从桥的储备中转走,随后将89,567枚rsETH作为抵押品存入Aave,并借出价值1.9086亿美元的wrapped Ether,此时Aave的预言机仍以攻击前的价格评估rsETH。
协议响应
Kelp DAO在发现可疑活动后暂停了主网和L2上的rsETH合约。Aave冻结了rsETH市场,阻止新增存款及以该抵押品借贷。Kelp DAO官方公告于2026年4月18日06:00 UTC发布在X平台。
来源:PeckShield · CertiK · CoinDesk · Cybernews · Bank Policy Institute · 2026年4月18日至20日
来源:PeckShield · CertiK · CoinDesk · Cybernews · Bank Policy Institute · 2026年4月18日至20日
Aave预言机被操控:损失如何被放大?
实际上,LayerZero跨链桥直接造成的损失为2.92亿美元。Aave预言机被操控后,整体损失演变为系统性威胁。
攻击者将89,567枚rsETH作为抵押品存入Aave。问题在于:Aave的价格预言机不验证存入资产的来源。仅在存款时核查市场价格。03:41 UTC时,rsETH的价格仍维持在攻击前水平。攻击者据此借出1.9086亿美元的wrapped Ether。而此时市场即将对这批抵押品大幅贬值。等到Aave冻结rsETH市场时。1.9亿美元的真实ETH已流出协议。
据CoinDesk报道,此后48小时内,Aave总存款从263.5亿美元降至179亿美元,净减少84.5亿美元。整个DeFi生态因此流出资金逾130亿美元。Aave创始人Stani Kulechov于事后在X平台发文明确表示,Aave合约本身未遭攻破,问题出在被接受为抵押品的资产上。这一技术层面的区分是重要的,但未能阻止资金外流。
这并非流动性质押协议首次在类似攻击向量上失守。据Elliptic分析,Drift Protocol于2026年3月在Solana上遭受了2.86亿美元的攻击,且疑似有与朝鲜相关团伙参与。两起事件相互独立,攻击向量各异,时间仅相隔一周。据CertiK统计,截至2026年4月20日,2026年DeFi损失已超过7.75亿美元。
机构DeFi的未来走向
实际上,据CoinDesk报道,Apollo Global Management和BlackRock在此次攻击发生后并未调整各自的链上金融扩张计划。机构投资者的立场颇为务实:问题不在于DeFi本身,而在于当前的安全防护水平。一位分析师于5月2日接受CoinDesk采访时表示:「DeFi技术栈的每一层都必须将安全置于首位。在人工智能时代尤为如此,因为AI使某些攻击向量的构建速度大幅加快。」
PeckShield追踪显示,被盗资金在攻击发生后数小时内即流向与Tornado Cash关联的地址:据PeckShield链上数据,至2026年4月18日08:00 UTC,已有约1.8亿美元进入混币流程。资金追回的可能性几乎为零。
未来数周值得重点关注的动态包括:主要协议价格预言机引入多源验证要求的讨论进展、Kelp DAO就受影响用户补偿基金提出的方案,以及欧洲央行的相关表态。欧洲央行于5月2日明确将此次攻击事件列为支持对DeFi资产实施审慎监管的论据之一,将其纳入2026年MiCA修订审查范畴。欧洲央行行长Christine Lagarde提及了系统性稳定问题。这一次,背后有真实数据支撑。
