Kelp DAO 遭受的 2.92 亿美元攻击在加密货币行业引发了一波反应,开发者和交易员警告称,这一事件暴露了去中心化金融(DeFi)构建方式中更深层次的缺陷。
市场参与者分享的数据显示,直接影响远远超出了被攻击的协议本身。
"rsETH 攻击导致所有借贷协议出现提款,甚至包括 Solana 和未受影响的协议," 0xngmi 在周日的一篇帖子中表示,指出大量资金外流,包括 "Aave:-62 亿(-23%)净流入" 以及 Morpho、Sky 和 JupLend 等平台出现较小但显著的下降。rsETH 是流动性重质押协议 Kelp DAO 的重质押以太币,是一种流动性重质押代币(LRT),允许用户在资产被锁定在质押中时仍能获得以太币质押和重质押奖励,同时保持资产的流动性。
这种压力迅速演变成更严重的情况。Josu San Martin 广泛传播的一篇帖子描述了借贷市场内连锁性的流动性压力:"ETH 存款人无法提取 ETH,所以他们借入稳定币来'提取'资金……这完全是对 AAVE 的挤兑。"
虽然 Aave 创始人 Stani Kulechov 表示攻击来自外部,协议的合约并未受到损害,但存款人仍然陷入恐慌。根据 DefiLlama 的数据,总锁仓价值(或存款)从 4 月 18 日的 264 亿美元下降到周日美国上午时段的近 200 亿美元。随着存款人在周末争相提取资金,AAVE 代币也下跌了超过 18%。
Aave 代币价格(CoinDesk)"案例研究"
这次攻击本身已成为工程师和开发者关注的焦点。
几位开发者反驳了问题源于核心基础设施的早期假设。"KelpDAO 攻击(约 2.9 亿美元)并非 LayerZero 协议漏洞。这是一个配置问题,是每个拥有跨链代币的项目今天都需要研究的案例," cryptogoblin 的一篇技术分析写道。
该帖子详细说明了单一验证点如何使攻击成为可能。"一个签名,116,500 个 rsETH 就在以太坊上凭空出现了,"帖子说,描述了一个系统,其中"[智能]合约没有被破坏。验证层被破坏了,"帖子声称。
其他人认为问题比单一设置选择更深层。
一位在 X 上名为 Fishy Catfish 的评论者将其定性为设计缺陷,声称:"没有安全底线……配置可以是 1/1 DVN,而你选择的 DVN 可以是由单一实体运行的单一节点。" DVN(去中心化验证者网络)在 DeFi 中,特别是在 LayerZero V2 中,是一个独立实体,负责验证和证明跨不同区块链网络发送的消息的真实性。本质上,DVN 验证源链和目标链之间的消息哈希。
为了更清楚地说明这一点,作者进行了一个现实世界的比较:"想象一下,如果过山车制造商允许游乐园各自决定最低安全规格是什么。" 本质上,作者只是在说,没有护栏的灵活性可能会产生隐藏的风险。
该帖子甚至声称设置本身就是设计中的问题。"我个人认为这是一个有缺陷的设计。模块化安全是一个值得探索的设计空间,然而,安全范围应该有一个相当强大的原生安全底线,然后允许在此基础上*额外*分层安全性,以应对更高价值的用例。"
"DeFi 已死"
引发严厉、恐慌批评的不仅仅是攻击的规模和复杂性。攻击的规模加剧了担忧。
大约 116,500 个 rsETH,约占供应量的 18%,受到影响。攻击者欺骗 LayerZero 的跨链消息传递层,使其相信来自另一个网络的有效指令已到达,这触发了 Kelp 的桥接器将 116,500 个 rsETH 释放到攻击者控制的地址。
协议通过冻结市场和暂停功能作出回应。Aave 停止了 rsETH 活动。Lido 暂停了与该资产相关的存款。其他项目也采取了类似措施,以限制风险敞口。
除了技术辩论之外,整个加密货币领域的情绪急剧转为负面。一篇帖子或许以直白的措辞捕捉到了情绪转变:"DeFi 已死……'只用 aave'已死,"同时补充说"加密时代已经结束",并询问,"如果你正在读这篇文章——你为什么还在加密货币领域?"
虽然这种反应听起来像是过度反应,但这种"膝跳反应"在大型攻击后并不罕见,但这次事件的广度令人瞩目。
攻击同时影响了跨链基础设施、重质押模型和借贷市场。它还紧随一连串近期事件之后。这次攻击发生在 DeFi 异常艰难的时期,特别是本月。基于 Solana 的永续合约协议 Drift 在 4 月 1 日的攻击中被盗走约 2.85 亿美元,该攻击后来与朝鲜关联的行为者有关,此后几周内至少有十几个较小的协议遭到攻击,包括 CoW Swap、Zerion、Rhea Finance 和 Silo Finance。
"检查你的配置"
尽管有各种解释,但问题仍然多于答案。
即使是 LayerZero 仍在试图弄清攻击的全部细节。"我们完全了解 rsETH 攻击事件,自事件发生以来一直与 @KelpDAO 团队积极进行补救,并继续监控。所有其他应用程序仍然安全,"它在 X 上的一篇帖子中说。"我们仍在与 @_SEAL_Org 和其他人一起确定根本原因。一旦我们掌握所有信息,我们将与 @KelpDAO 一起发布完整的事后分析。"
KelpDAO 呼应了这一观点。"今天早些时候,我们发现涉及 rsETH 的可疑跨链活动。我们在调查期间已暂停主网和几个 L2 上的 rsETH 合约。我们正在与 @LayerZero_Core、@unichain、我们的审计师和顶级安全专家合作进行根本原因分析。我们将随时向您通报有关这种情况的更多信息。"
尽管如此,一些开发者从混乱中看到了更清晰的教训。
攻击并不依赖于破解加密或绕过智能合约。相反,它暴露了当系统依赖于分层假设时,它们可能变得多么脆弱。
简单来说,工具按设计运行。但它们的配置方式却不是。
这种区别可能会影响接下来发生的事情。建设者现在敦促项目审查其设置,特别是那些依赖跨链消息传递的项目。
正如 cryptogoblin 直言不讳地说:"检查你的配置。注意安全。"
延伸阅读:DeFi 收益率崩溃得如此厉害,以至于无法与传统储蓄账户竞争
来源:https://www.coindesk.com/news-analysis/2026/04/19/defi-is-dead-crypto-community-scrambles-after-usd292-million-hack-exposes-cross-chain-risks
