这可能是 2026 年最「合规」的一场 3 亿美元惨案 今日早间,Kelp DAO @KelpDAO 遭遇攻击,2.93 亿美元的资产被黑客从跨链桥抽走,并迅速转入 Aave @aave 、Compound 等协议借出真金白银撤场。 但这事儿最惊悚的地方不在于金额,而在于:所有协议的代码都没有漏洞🤷♀️🤷 以下是关于这场「代码没坏,但钱没了」的 DeFi 灾难,你需要知道的真相: 1. 消失的 3 亿美元,不在代码里 通常黑客是找代码 Bug,但这次黑客找的是「配置参数」。 Kelp DAO 使用了 LayerZero 的 DVN(去中心化验证网络)机制,这本是个安全组件。但 Kelp 主动选择了「1-of-1」的配置:意味着只要攻破唯一一个节点,黑客就能伪造任何跨链消息❗️❗️ 即使 Slither 或 Mythril 这种顶级代码审计工具,也检测不出这种部署时的参数错误。 于是,黑客通过伪造的跨链消息,凭空变出了 11.6 万枚 rsETH,然后冲进 Aave 当作抵押品。 2. Aave 的「平庸之恶」:为了竞争,牺牲冗余 为什么黑客能从 Aave 借走那么多钱?因为 Aave 的治理系统在过去半年里,亲手把防线拆了😀😀 为了和对手竞争,Aave 把 rsETH 的贷款价值比(LTV)推到了 93%。这意味着你存 100 块的货,能借走 93 块的钱。相比之下,其他协议只给 70% 左右。 治理提案里全是「保持竞争优势」、「增加协议收入」,却没有任何一份风险报告警告过:rsETH 背后那个跨链桥到底安不安全? 3. 风险管理人的「空窗期」 说到这事就更巧了(不过也可能是黑客专门挑的这个时期下手) 长期为 Aave 站岗的风险管理团队 Chaos Labs 在 4 月 6 日刚离职(理由是给的钱少、活儿太杂)。而新接手的 LlamaRisk 在事发前 9 天,刚以「链上数据健康,利用率正常,流动性充足」为由调高了 rsETH 的供应上限。 链上数据只告诉了现在生意多火爆,覆盖不到的是:rsETH 到达 Aave 之前,穿越了一道什么样的桥。 4. 谁在最后买单? 黑客卷走了 2.36 亿美元的 WETH 撤场,给 Aave 留下了一堆由于攻击导致脱锚、无法清算的 rsETH 烂账。 Aave 的保险库里只有约 5000 万美元,而剩下的约 1.5 亿美元缺口,将由那些存入 WETH、只是想赚点利息的普通用户分摊💔💔 据 @EmberCN 监测,受此次事件影响,今日从 Aave 撤离的资金量已超 66 亿美元。 这不仅是一个数字,更是安全溢价的集体清算。当 Aave 的安全「金身」被打破,统一型借贷市场的系统性盲区,正被大资金重新贴上风险标签。
