#KelpDAOBridgeHacked ✨去中心化金融（DeFi）生态系统在2026年4月18日星期六17:35 UTC经历了年度最大压力测试——Kelp DAO桥梁攻击。Kelp DAO的由LayerZero支持的跨链桥被伪造消息验证所欺骗，单笔交易序列中被 draining 了116,500个rsETH——大约$292 百万。这一金额约占总rsETH供应量630,000的18%，事件发生在46分钟内。Kelp团队在18:21 UTC通过紧急多签暂停了合约，但此时大部分资金已通过Tornado Cash相关地址转换为ETH。

🧐攻击技术
LayerZero的消息层验证了一个伪造的转账指令，该指令似乎来自另一条链。这触发了桥的lzReceive函数，允许未授权的铸币操作。
攻击者利用单一验证漏洞，将116,500个rsETH铸入自己的钱包，然后试图在另外两次尝试中窃取另外40,000个rsETH；这些尝试因Kelp的紧急暂停而被阻止。

🧐资金流动与杠杆利用
被盗的rsETH中约$250 百万被迅速转换为ETH。链上数据显示，攻击者借入了106,467 ETH (约2.5亿美元)。
这些资金被用作Aave V3/V4、Compound V3和Euler的抵押品，形成超过$236 百万的坏账头寸。

🧐受影响资产与链
被清空的桥支持跨越20多个链的rsETH储备，包括Base、Arbitrum、Linea、Blast和Scroll。L2上的rsETH持有者现在面临抵押品短缺的风险。
Kelp暂停了主网和L2合约；声明用户资金未被直接盗取，但由于储备短缺，回购操作被暂停。

🧐市场反应
Aave在数小时内冻结了V3和V4中的rsETH市场。SparkLend和Fluid也采取了同样的措施。Lido Finance停止了其earnETH产品的新存款。Ethena为预防措施关闭了LayerZero OFT桥6小时。
消息公布后，AAVE代币价值约下跌10%。rsETH的总TVL流出加速了DeFi中的“避险潮”。

🧐系统性背景
这成为2026年最大的一次DeFi黑客事件，超过了4月1日Drift Protocol的攻击，损失约(2.85亿美元)。2026年第一季度的黑客和欺诈损失已达$482 百万。
在社交媒体上，此事件强化了“重 staking + 桥 = 脆弱环节”的叙事。西班牙语和葡萄牙语社区分享了比特币在同期的稳定性，作为DeFi脆弱性的反例。

🤔结论与展望
KelpDAO的攻击再次证明，增长速度快于安全性。从短期来看：
rsETH流动性将持续收缩，增加L2中包裹版本折价的风险。
Aave及其他借贷协议将被迫设立储备金或披露坏账补偿计划。
审计公司和LayerZero将发布紧急更新其消息验证逻辑。
从长远来看，行业将制定多签验证、实时异常监控和跨链桥保险池等标准。2026年18天内超过$590 百万的三大黑客事件表明，机构资本可能将追求高回报的热情转向更受监管的领域，如比特币ETF，直到安全基础设施成熟。

对投资者的教训很明确：关键不在于回报，而在于抵押品的验证地点和方式。Kelp DAO桥梁黑客事件成为“高使用=高风险”在DeFi中的最具代表性的实例。