Kelp DAO於2026年4月18日遭遇攻擊,駭客通過入侵單個LayerZero驗證節點,鑄造了116,500枚無實際資產支持的rsETH。該事件在近幾週內引發了超過6億美元的DeFi全行業損失,各協議累計損失已接近10億美元。鏈上數據顯示,資本正加速從再質押、借貸及跨鏈橋協議中撤離,DeFi總鎖倉價值已跌至12個月以來的最低點。
此次事件的核心問題在於,單個配置錯誤的驗證節點是否暴露了整個跨鏈DeFi基礎設施的系統性脆弱性。Kelp DAO的rsETH跨鏈橋依賴於一個去中心化驗證網絡節點來驗證LayerZero消息,這種“1-of-1”的單點配置此前已被安全公司Halborn警告。攻擊者(LayerZero指認為朝鮮Lazarus集團的TraderTraitor小組)通過入侵兩個向該驗證器提供數據的RPC節點,並對備用節點發起DDoS攻擊以強制故障轉移,最終注入欺詐消息鑄造了巨額rsETH。
損失迅速蔓延。鑄造的116,500枚rsETH在接受該代幣作為抵押品的借貸市場中製造了壞帳,Halborn將此描述為偽造消息的“回音室”。分析指出,問題不在於工具本身,而在於其配置方式。這意味著此次攻擊並未利用零日漏洞,而是利用了已有預警的錯誤配置。單點故障的驗證器架構已成為一個明確的攻擊面。
TVL數據揭示了資本外逃的嚴重性。在宏觀壓力下,DeFi總TVL在2026年第一季度已持續收縮,而Kelp DAO事件加速了這一趨勢,使其呈垂直下跌。數據顯示,在4月18日攻擊發生後的48小時內,TVL外流達130億美元。其中,Aave的TVL從264億美元暴跌至約180億美元,因其凍結了rsETH市場,用戶為規避潛在壞帳風險而大規模撤資。Aave風險團隊目前正根據被用作抵押品的無擔保rsETH的回收率,模擬兩種壞帳情景。