当前位置:主页 > 区块链 > 资讯 > DeFi被盗2.92亿美元事件分析

Kelp DAO被盗2.92亿美元,Aave承接巨额坏账

2026-04-19 12:07:05 | 来源: | 作者:佚名
第二大流动性质押协议Kelp DAO遭遇重大安全漏洞,其基于LayerZero的rsETH桥接合约被攻击,损失价值约2.92亿美元的资产,事件根源在于源链私钥被攻破,并可能对Aave等借贷协议造成巨额坏账,下面一起来看看时间起因

DeFi再次被盗2.92亿美元,这下连Aave都不安全了?

北京时间 4 月 19 日,DeFi 安全再遭重创。

链上数据显示,今晨 1:35 左右,第二大流动性质押协议 Kelp DAO 基于 LayerZero 的 rsETH 桥接合约疑似遭黑客利用,损失 116500 个 rsETH,价值约 2.92 亿美元。

继续追迹链上记录,攻击者地址在事发前大约 10 小时从混币协议 Tornado Cash 收到了 1 ETH 的初始资金,之后该地址调用了 LayerZero EndpointV2 合约上的 lzReceive 函数,此次调用触发了 Kelp 的桥接合约,将 116500 个 rsETH 转移到了另一个攻击者地址。

DeFi再次被盗2.92亿美元,这下连Aave都不安全了?_图2

事发后大概 2 个半小时,Kelp DAO 官方于 X 确认了遭遇攻击:“今天早些时候,我们发现了涉及 rsETH 的可疑跨链活动。在调查期间,我们已暂停主网和多个 Layer2 上的 rsETH 合约。我们的审计人员正在与 LayerZero、Unichain 的安全专家合作,密切关注此事。后续我们将向你通报最新情况,请关注官方渠道。”

DeFi再次被盗2.92亿美元,这下连Aave都不安全了?_图3

事发之后,各路 DeFi 项目及安全机构均对事件原因进行了分析。D2 Finance 在分析在社区内被多次引用 —— LayerZero Scan 将该来源对端标记为 Kelp DAO,这意味着该消息来自 Kelp 自身合法部署的对端合约,且该路径此前已经有 308 条消息 nonce 记录。因此,本次攻击的根本原因在于“源链私钥被攻破”。

TinyHumans AI 开发者 Steven Enamakel 则补充表示,Kelp DAO 与 LayerZero 的这套桥接合约竟仅由一个 1/1 的验证者集合(DVN)来保障,这意味着只要验证者发出一笔错误交易,就足以引发问题。

黑客借路 Aave 出逃,疑似已造成坏账

由于 rsETH 本身的交易流动性有限,黑客选择的出逃策略为借路 Aave 等借贷协议,抵押 rsETH 并借出交易流动性更好的 wETH。

PeckShield Alert 监测显示,截至今晨 4:30,黑客地址已将盗取的 rsETH 存入 Aave V3、Compound V3、Euler 等借贷协议,并借出了大量 WETH,债务总额超过 2.36 亿美元 —— 其中仅 Aave 一家平台的债务便高达 1.96 亿美元,Compound 3940 万美元,Euler 仅 84 万美元。

黑客借路 Aave 出逃,疑似已造成坏账

事发之后,Aave 随即冻结了 Aave V3 和 V4 上的 rsETH 市场,该团队随后于 X 官方发布声明表示:“Aave 的合约并未遭到攻击,此次攻击系与 rsETH 相关。冻结 rsETH 是为了在评估情况期间阻止新的 rsETH 存款和抵押借款。我们正在审查攻击发生后 Aave 上发生的 rsETH 借款信息,并将尽快分享更多细节。”

初始声明发布后不久,Aave 又更新了该动态,在最后加上了一句:“如果该协议因本次事件而累积坏账,我们将探索弥补赤字的途径。

截至发文,尚不清楚本次事件所造成坏账的具体数额

Aave 直接竞争对手 Spark 的战略主管 monetsupply.eth 表示,如果 rs ETH 出现 19% 的折价(被盗数额占 rsETH 总供应量的 19%),Aave 可能会产生超过 1 亿美元的坏账,因为存在高杠杆的循环借贷。

黑客借路 Aave 出逃,疑似已造成坏账_图2

不过,Aave 生态代表性治理团队 Aave Chan Initiative(ACI)的创始人 Marc Zeller(已宣布因治理分歧将于 7 月退出 Aave)却给出了不同的看法。Zeller 在事件爆发之初曾建议用户从 Aave V3 中尽快取出 WETH 以规避损失,并确认 Aave 上的 USDC 和 USDT 市场不受影响,他在回复另一位用户关于“坏账可能达到上亿规模”的猜测时曾表示:“远小于该数字。”

黑客借路 Aave 出逃,疑似已造成坏账_图3

但 Marc Zeller 也提到,现在是时候在真正的生产环境中检验 Umbrella 了。所谓 Umbrella,即 Aave 的自动安全模块,简单来说这就是一个应对坏账的资金池,用户可向其内存入资产以获取较高激励,但当协议出现坏账时,该资金池也需承担潜在的亏损。

Aave 协议数据显示,目前 Umbrella 内共拥有价值约 5000 万美元的 WETH 可用于应对本次事件的潜在坏账,但暂时并不确定是否足够填补窟窿。

Andre Cronje 则称:Aave 并无补贴用户损失的机制,否则可能引发挤兑,当前 Aave 约持有 70 亿美元 ETH 以及约 1 亿美元提取规模,因此本次事件的整体影响有限。

受此事件影响,AAVE 短线大跌近 10%,截至发文暂报 104.6 USDT。

四月的又一场亿级安全事件

这并非本月发生的第一起巨额安全事件。

早在 4 月 1 日,Solana 生态衍生品交易协议 Drift Protocol 边曾遭遇攻击,损失高达 2.8 亿美元。

事后,Drift Protocol 直接将被盗的锅甩给了“朝鲜黑客”,但幸运的是,Tether 等机构已承诺注资 1.475 亿美元用于用户赔付,用户至少有了些索赔希望。

仅仅过去了十几天,又一起规模更大的黑客事件爆发,这一次又该如何收场呢?

DeFi 还有安全的地方吗?

DeFi 的安全问题正愈演愈烈。

一边是持续不断的黑客事件,另一边是 Mythos 等 AI 带来的持续性安全威胁。对于 DeFi 用户而言,此前的应对举措是将资金尽量向审计充分、品牌信誉较好的头部协议聚拢,但现如今,就连 Aave 这种散户潜意识里极难出问题的顶级协议也间接受到了波及,用户还能把资金挪去哪呢?

就个人而谈,当下确实不太建议用户将大量资金留在链上,如若确实存在需求,请务必做好仓位的分散与隔离。

免责声明:本文只为提供市场讯息,所有内容及观点仅供参考,不构成投资建议,不代表本站观点和立场。投资者应自行决策与交易,对投资者交易形成的直接或间接损失,作者及本站将不承担任何责任。!
Tag:Aave   DeFi  

你可能感兴趣的文章

更多

热门币种

  • 币种
    最新价格
    24H涨跌幅
  • bitcoin BTC 比特币

    BTC

    比特币

    $ 75130.98¥ 512273.07
    -1.98%
  • ethereum ETH 以太坊

    ETH

    以太坊

    $ 2312.58¥ 15768.09
    -2.82%
  • tether USDT 泰达币

    USDT

    泰达币

    $ 1.0002¥ 6.8197
    +0.02%
  • ripple XRP 瑞波币

    XRP

    瑞波币

    $ 1.4199¥ 9.6814
    -2.16%
  • binance-coin BNB 币安币

    BNB

    币安币

    $ 619.84¥ 4226.31
    -2.54%
  • usdc USDC USD Coin

    USDC

    USD Coin

    $ 0.9997¥ 6.8163
    +0.01%
  • solana SOL Solana

    SOL

    Solana

    $ 84.791¥ 578.13
    -3.19%
  • tron TRX 波场

    TRX

    波场

    $ 0.3337¥ 2.2753
    +1.83%
  • dogecoin DOGE 狗狗币

    DOGE

    狗狗币

    $ 0.093772¥ 0.6393
    -3.4%
  • hyperliquid HYPE Hyperliquid

    HYPE

    Hyperliquid

    $ 42.9507¥ 292.85
    -4.16%

币圈快讯

  • Spark战略主管:ETH市场因rsETH贷款潜在10%至15%削减面临流动性风险

    2026-04-19 17:33
    Spark战略主管monetsupply.eth在X平台发文表示,随着稳定币市场开始变得缺乏流动性,情况正进入更危险阶段。我认为,ETH市场约16.5%由rsETH支持,rsETH支持的贷款若在主网和外部链上损失均摊,emode中可能面临10%至15%削减,剩余2%至3%削减留给ETH供应者以抹平伞形结构。ETH供应者自然倾向尽快退出以规避此风险,因此利用率被锁定在100%,借贷利率不足以激励偿还无关的LST循环(wstETH、weETH)以释放流动性。由于无法提取ETH,借入USDT等稳定币并以ETH作抵押的用户即使在稳定币借贷利率上升时也无法平仓,这切断了维持市场健康的典型激励机制。当前出现两种不健康激励,导致市场利用率锁定在100%:1)ETH持有者无法平仓以维持健康的LTV,清算者也无法原子式提取或出售抵押品,ETHUSD价格下跌可能导致坏账。2)供应USDT的用户为退出持有,倾向最大化借入其他稳定币,该仓位目前正产生正向收益(暂时),因此退出成本低;若条件恶化,可至少回收75%仓位价值。底线是,这些池化/再质押借贷市场要正常运作,必须不惜一切代价保持流动性。近期slope2对Aave最大借贷利率的削弱正产生负面影响,并显著提升级联市场失败的风险。

  • BitgetIPOPrimepreSPAX累计认购金额已超1亿美元

    2026-04-19 17:33
    据官方消息,BitgetIPOPrime首期项目preSPAX自昨日14:00(UTC+8)开放认购,累计参与人数已达7,649人,总认购金额已超100,071,646美元。更多详情可参阅Bitget官方平台。

  • 伊朗议长:不信任其对手并已做好应对任何战争的准备

    2026-04-19 17:19
    4月19日,据伊朗塔斯尼姆通讯社报道,伊朗伊斯兰议会议长卡利巴夫表示,德黑兰一方面积极开展外交活动,另一方面也做好了军事对抗的准备。他强调,伊朗不信任其对手,并已做好应对任何战争的准备。(新华社)

  • etherFi:已暂停LayerZero桥接并冻结多项资产存取暂未直接暴露rsETH风险

    2026-04-19 17:08
    etherFi在X平台发文表示,其Liquid金库暂时没有直接暴露于KelprsETH事件风险,但出于预防性考虑现已暂停weETH与eETH的LayerZero跨链桥接功能,直至KelprsETH事件根因明确。同时,针对Liquid(ETH、BTC、USD)、sETHFI及eBTC产品,相关Teller合约已被暂停以阻断LayerZeroOFT桥接路径,相关资产的存款与取款功能也同步暂停,目前正与安全合作伙伴密切协作,待更多细节确认后将及时更新进展。

  • Aave单日TVL跌幅扩大至21.6%现报约207亿美元

    2026-04-19 17:05
    今日KelpDAO黑客事件为Aave造成约1.77亿到2亿美元坏账后,出于避险目的大量鲸鱼从Aave提取资金。据Defillama数据,受此影响,AaveTVL较今晨的约220亿美元持续下跌,现报约207亿美元,较昨日的约264亿美元下降约21.6%
    • 查看更多

区块链百科

最新资讯

更多