Kelp DAO桥接合约遭黑客攻击 损失超2.9亿美元

链上数据显示,北京时间4月19日凌晨1:35左右,第二大流动性质押协议Kelp DAO基于LayerZero的rsETH桥接合约疑似遭遇攻击,造成116500个rsETH被盗,价值约2.92亿美元。攻击者在事发前约10小时从Tornado Cash接收1 ETH作为初始资金,并通过调用LayerZero EndpointV2合约触发跨链转移,将资产转入另一地址。

攻击根源指向源链私钥泄露

D2 Finance分析指出,此次攻击的源头为“源链私钥被攻破”,因为攻击消息来自被标记为Kelp DAO的合法对端合约,且该路径已有308条历史nonce记录。同时,TinyHumans AI开发者Steven Enamakel强调,该合约仅由单一验证者集合(DVN)维护,一旦验证者发出错误交易即可能引发严重后果。

黑客借道Aave出逃 债务总额超2.36亿美元

由于rsETH流动性有限,黑客选择通过Aave V3、Compound V3及Euler等借贷协议进行套现。截至今晨4:30,其债务总额超过2.36亿美元,其中Aave平台占比高达1.96亿美元,Compound达3940万美元,Euler为84万美元。 Aave随即冻结了V3与V4上的rsETH市场,并声明:“合约未被攻击,冻结仅为防止新增存款和借款。我们正在审查相关交易信息,将尽快通报详情。”

Aave表态将探索弥补坏账途径

Aave官方更新声明称,若因本次事件产生坏账,将探索弥补赤字的方案。尽管尚无确切金额,但据分析,若rsETH出现19%折价(占总供应量比例),可能引发超1亿美元坏账,尤其在高杠杆循环借贷环境下风险加剧。 Aave生态治理团队ACI创始人Marc Zeller则认为实际坏账远低于此估算,但仍建议用户尽快提取WETH以规避潜在损失。他同时提及当前是检验Umbrella机制真实能力的关键时刻——该机制为自动安全模块,目前持有约5000万美元价值的WETH,可用于应对坏账风险。

四月连续爆发亿级安全事件 引发行业震荡

这并非本月首起重大安全事故。4月1日,Solana生态衍生品协议Drift Protocol同样遭遇攻击,损失达2.8亿美元。事后虽归责于“朝鲜黑客”,但Tether等机构承诺注资1.475亿美元用于赔付,为用户提供了部分保障。 然而,时隔十余天,更大规模的事件再次发生,市场对DeFi整体安全性提出新挑战。

DeFi还安全吗?用户应如何应对?

随着黑客攻击频发及新型威胁如AI工具介入,用户对协议的信任基础正被不断侵蚀。过去依赖头部协议避险的策略如今面临失效,连Aave这类被视为稳健的平台也受到波及。 建议当前谨慎对待链上大额资金部署,如确有需求,务必实施仓位分散与资产隔离,避免集中暴露于单一协议风险中。 截至目前,事件细节仍在持续追踪中,后续进展将由Odaily持续更新,请保持关注。