Sự kiện an toàn DeFi lớn nhất năm 2026: Lỗ hổng cầu nối chuỗi chéo của KelpDAO, Aave nợ xấu gần 200 triệu USD

2026 年 4 月，加密行业经历了一次严峻的 DeFi 系统性风险考验。KelpDAO 跨链桥因 LayerZero 配置漏洞遭攻击，导致 rsETH 异常增发，进而传导至 Aave 协议形成近 2 亿美元坏账，DeFi 全网总锁仓价值（TVL）在 72 小时内蒸发超过 130 亿美元。这一事件不仅暴露了跨链桥与借贷协议之间的风险敞口，更引发了关于可组合性安全边界的深度讨论。

KelpDAO 攻击如何引发 Aave 近 2 亿美元坏账？

攻击的传导路径分为三个阶段。第一阶段，攻击者利用 KelpDAO 跨链桥中 LayerZero 的配置漏洞，绕过了权限校验机制，在源链上非法增发了大量 rsETH。第二阶段，攻击者将增发的 rsETH 跨链转移至以太坊主网，并在多个 DEX 中快速兑换为其他资产，造成 rsETH 价格短暂脱锚。第三阶段，由于 Aave 集成了 rsETH 作为抵押资产，攻击者使用增发的 rsETH 超额借贷出 ETH 和 USDC 后直接撤走流动性，留下无法清算的坏账。截至 2026 年 4 月 20 日，Aave 官方披露的坏账规模约为 1.77 亿至 2 亿美元，具体金额取决于后续清算与追偿进展。

rsETH 跨链桥漏洞与 LayerZero 配置失误如何暴露？

本次攻击的技术根源在于跨链桥的权限管理缺陷。KelpDAO 采用的跨链桥方案基于 LayerZero 的通用消息传递协议，但在配置中未对消息发送者的合约地址进行严格校验。攻击者伪造了合法的消息发送者身份，向目标链提交了“增发”指令。LayerZero 的中继器与端点合约正常执行了该消息，因为其验证机制仅校验消息签名，而未对消息内容的业务合法性做二次检查。这一漏洞属于典型的“配置与业务逻辑不匹配”问题，在 2025 年至 2026 年期间已多次出现在各类跨链桥攻击事件中。rsETH 作为 KelpDAO 的流动性再质押代币，其铸造权限原本仅限特定的合约，但跨链桥的增发接口被错误地暴露给了外部调用者。

Aave 为何无法避免 1.77 亿美元坏账？

Aave 作为去中心化借贷协议，其风控模型依赖于链上预言机价格与清算机制。在本次事件中，rsETH 的价格脱锚持续时间极短，且攻击者在价格下跌之前已完成借贷操作。当 rsETH 价格开始下跌时，攻击者的仓位已经处于“水下”状态，但 Aave 的清算机器人未能及时触发，原因有两个。第一，rsETH 在 Aave 中的抵押因子设置较高，给予了一定的价格波动缓冲空间，但这恰恰被攻击者利用。第二，攻击者同时使用了多个地址进行分散借贷，导致单笔仓位的健康度看似正常，但整体风险敞口巨大。此外，Aave 的预言机在短时间内未能捕捉到 DEX 中 rsETH 的真实成交价，依赖的时间加权平均价格（TWAP）机制存在延迟，使得清算触发晚于资产撤出速度。

DeFi 可组合性如何放大单一协议风险？

可组合性是 DeFi 的核心优势，但也成为风险传导的加速器。KelpDAO 攻击事件中，风险沿着“跨链桥 — 再质押代币 — 借贷协议”的链条快速扩散。跨链桥的漏洞导致 rsETH 增发，而 rsETH 作为抵押品在 Aave 中创造借贷能力，最终将虚假的资产价值转化为真实的流动性提取。这种传导机制具有非线性的特点：一个价值 500 万美元的攻击成本，最终造成了接近 2 亿美元的坏账与超过 130 亿美元的 TVL 撤离。市场参与者在事件发生后迅速从 Aave 及其他借贷协议中撤出流动性，进一步加剧了资金出逃。截至 2026 年 4 月 20 日，DeFi 全网的 TVL 从事件前的约 1,150 亿美元下降至 1,020 亿美元以下，蒸发规模超过 130 亿美元。

130 亿美元 TVL 蒸发背后谁在出逃？

TVL 的快速下降反映了三个层面的市场行为。第一层是直接受影响的 Aave 协议，用户为避免资产被锁定或参与清算，主动撤回了约 45 亿美元的流动性。第二层是与 Aave 存在资金交互的聚合器与杠杆协议，这些协议因底层借贷市场的不确定性，被迫降低仓位或暂停服务，导致约 35 亿美元的资金被动撤离。第三层是市场恐慌情绪的蔓延，用户从其他无直接关联的借贷与质押协议中撤出资产，形成了约 50 亿美元的溢出性流出。值得注意的是，本次资金出逃的速度在 DeFi 历史上排名前列，72 小时内的 TVL 降幅达到 11.3%。从资产类别看，ETH 与稳定币的流出最为显著，分别减少了约 48 亿美元与 52 亿美元。

DeFi 保险能否覆盖类似攻击的盲区？

现有 DeFi 保险协议对本次事件的覆盖能力极为有限。主流保险协议如 Umbrella 等，其承保范围通常限定于智能合约漏洞导致的直接资金损失，但对于“协议间风险传导”造成的间接坏账，理赔边界并不清晰。在 KelpDAO 攻击中，Aave 的坏账并非源于 Aave 自身的合约漏洞，而是来自外部协议的异常输入。保险协议是否应该赔付这类“外部输入风险”，目前行业内缺乏统一标准。此外，攻击导致的价格脱锚与清算失败，往往被归入“市场风险”或“操作风险”的免责条款。截至 2026 年 4 月 20 日，已有多个保险协议表示正在评估本次事件的理赔范围，但预计大部分损失将无法通过保险覆盖。这一盲区暴露出 DeFi 保险在系统性风险面前的局限性。

总结

KelpDAO 跨链桥攻击事件是 2026 年迄今影响最严重的 DeFi 安全案例之一。它以约 500 万美元的攻击成本，撬动了近 2 亿美元的 Aave 坏账与超过 130 亿美元的 TVL 蒸发。事件的核心教训包括：跨链桥的权限配置必须与业务逻辑深度绑定，借贷协议需加强对非主流抵押品的风控参数校准，以及 DeFi 保险体系亟需扩展至系统性风险传导场景。可组合性在提升资金效率的同时，也要求协议之间建立更清晰的风险隔离机制。对于行业而言，本次事件并非终点，而是推动 DeFi 风控标准升级的重要节点。

FAQ

问：KelpDAO 攻击中 Aave 的 2 亿美元坏账最终由谁承担？

答：坏账首先由 Aave 协议的储备金进行覆盖。若储备金不足，协议将通过后续的清算收入、费用积累等方式逐步弥补。部分损失可能最终由 Aave 的流动性提供者间接承担，具体取决于社区治理的决策方案。

问：本次攻击是否会影响其他使用 LayerZero 的跨链桥？

答：LayerZero 协议本身并非存在漏洞，问题出在 KelpDAO 对消息验证的配置失误。但其他跨链桥若采用类似的不严格权限校验机制，同样面临被攻击的风险。建议相关项目方立即审计跨链消息的验证逻辑。

问：投资者应如何规避类似 DeFi 可组合性风险？

答：投资者应关注协议之间的依赖关系，避免将大量资产投入到高度嵌套的 DeFi 策略中。同时，优先选择经过多轮审计、设置风险隔离机制、具备成熟清算预案的协议。分散资产存放于不同底层架构的协议也是一种有效的风险管理方式。