2.92 億美金的教訓：從 rsETH 被盜看 DeFi 安全

撰文：劉教鏈

導言：一次幸運的巧合

2026 年 4 月 18 日，Kelp DAO 的 rsETH 跨鏈橋遭攻擊，價值約 2.92 億美刀的資產被盜。攻擊者將盜取的 rsETH 存入 Aave，借出 ETH，引發呆帳恐慌。Aave 上 ETH 利用率瞬間飆升至 100%，無數無辜存款人的資金被鎖。

而教鏈在兩個月前的 2 月 5 日，剛剛把 Aave 上的存款全部轉到了 Spark。動機很樸素：Spark 的收益率比 Aave 高了那麼一點點。結果無意中避開了這場危機。

這不是預見性，不是判斷力，純粹是運氣。但這個運氣讓教鏈開始認真思考一個問題：下次還能這麼幸運嗎？

借著這次事件，教鏈回顧了一下自己在 DeFi 世界裡踩過的坑、看過的教訓、以及最終的思考，寫在下面。

一、2026.4.18：蝴蝶如何扇動翅膀

1.1 攻擊本身

4 月 18 日 17:35 UTC，一個攻擊者控制的钱包調用了 LayerZero 的 EndpointV2 合約，觸發了 Kelp DAO 的跨鏈橋合約，釋放了 116,500 枚 rsETH 到攻擊者地址。按當時市價計算，價值約 2.92 億美刀。[1]

攻擊者的钱包在 10 小時前通過 Tornado Cash 的 1 ETH 池獲得資金，這是 DeFi 攻擊中常見的資金混淆手法。

Kelp DAO 的反應不算慢。46 分鐘後，其緊急暫停多簽钱包執行了 pauseAll，凍結了核心合約，阻止了後續兩次分別試圖再盜取約 1 億美刀的攻擊嘗試。[1]

1.2 風險傳導至 Aave

但真正的風暴不在 Kelp DAO，而在更知名的借貸協議 Aave。

攻擊者將盜取的 rsETH 存入 Aave，作為抵押品借出了 ETH。這一步，把外部攻擊變成了 Aave 內部的呆帳風險。[2]

市場迅速做出反應。巨鯨們開始從 Aave 撤走 ETH。根據 Lookonchain 的監測，Aave 上 ETH 利用率很快達到 100%——這意味著池子裡幾乎沒有可供提款或新借款的 ETH 了。[2]

那些從未碰過 rsETH、只存了 ETH 的無辜用戶，資金也被鎖住了。

這就是共享池借貸的代價：你不需要直接接觸壞蘋果，只要和它在同一個池子裡，就會被波及。

1.3 非隔離借貸的固有風險

Curve 創始人 Michael Egorov 在事發後發推說：這就是大家喜愛的非隔離借貸模式所固有的風險。擴展性好，但風險更高。風險管理是關鍵，Aave 歷史上在這方面做得不錯。[3]

他的言外之意是：這種模式本來就有這個問題，不是 Aave 特有的漏洞。

教鏈認為，這個判斷是對的。但問題在於，普通用戶很難提前判斷什麼時候風險會變成現實。

二、矛盾時刻：聽其言 vs 觀其行

2.1 安撫與行動的分裂

Aave 官方表示情況可控，安全模塊 Umbrella 可以作為第一道防線。[1]

但真正引發討論的是 Andre Cronje（AC）的表現。

AC 在推文中說：Aave 有 70 億美刀的 ETH 存款，只被提走了 1 億美刀，影響很小。即使出現呆帳，Aave 的安全模塊和 AAVE 代幣就是第一道防線。[4]

與此同時，他創辦的 PUT 協議卻把 Aave 上所有的 ETH 都撤走了。他的解釋是：PUT 的首要目標是用戶流動性，Aave 上的可用流動性跌破了我們的最低閾值，這只是規則觸發，不是判斷 Aave 要破產。[4]

從規則上講，他沒做錯。但從旁觀者角度看，這很難不讓人產生一個印象：說一套，做一套。

2.2 歷史總是押韻

這不是第一次。

2022 年 5 月，Luna 崩盤。Do Kwon 在 UST 脫鉤後反覆喊話不要慌，算法會恢復。相信他的人，被埋了。

2022 年 11 月，FTX 倒閉。SBF 在擠兌發生後說資產沒問題，FTX 很健康。相信他的人，也被埋了。

教鏈身邊有朋友，在 FTX 有大量存款。看到恐慌和安撫同時出現時，他選擇了提幣避險。事後他說，當時也不知道 FTX 會不會倒，但他知道如果萬一倒了，他跑不了。所以他選擇先跑。

這個邏輯，教鏈認為是普通用戶在危機中最應該記住的：君子不立危牆之下。牆會不會倒，你可能不知道。你只需要知道，你沒必要站在下面。

三、教鏈的兩次經歷：從被困到僥倖

3.1 第一次：Compound 被鎖

2025 年 11 月，教鏈在 Compound 裡存了一些 USDC。教鏈沒有碰 deUSD，也不知道 xUSD 是什麼。

但 xUSD 團隊在 11 月 4 日承認虧空了 9300 萬美刀，xUSD 脫鉤。它背後的 deUSD 也跟著脫鉤。而 Compound 接受 deUSD 作為抵押品。凌晨 5 點，Compound 緊急暫停提幣。[5]

教鏈的資金被鎖了。

那天教鏈在文章裡寫：本來可以從容不迫、游刃有餘，提前一天時間，提幣避險。現在突然暫停提幣，一下子連匆匆忙忙、連滾帶爬著撤退的機會都沒有了。[5]

好在呆帳規模只有幾百萬美刀，安全模塊覆蓋了，最後有驚無險。

但教鏈記住了一個教訓：風險是可以傳導的。你不需要直接接觸壞蘋果，只要和它在同一個池子裡，就會被波及。

3.2 第二次：Aave 撤離

2026 年 2 月 5 日，教鏈把 Aave 上的存款轉到了 Spark。

原因很樸素，甚至有點俗：Aave 的收益率下降了，Spark 略高。教鏈只是把錢從利息低的地方挪到了利息高的地方。

這個操作在無數個普通日子裡都在發生。教鏈沒有預見兩個月後 Aave 會出事，沒有分析過 rsETH 的風險，沒有任何內幕消息。

結果卻無意中避開了 4 月的 Aave 危機。

教鏈把這定義為運氣。但教鏈也在想，這種運氣有沒有偶然中的必然性呢？

3.3 兩次對比

第一次：被動被困，僥倖脫身。第二次：主動流動，無意避險。

不必追求判斷對錯，也很難追求。只要保持流動性自由，就可能無意中避開一些坑。

但也並非長久之計。俗話說，常在河邊走，哪能不濕鞋？

四、新的戰場：Spark 的鏈下不透明

4.1 暫時的棲身之所

從 Aave 出來後，教鏈把一部分資金放在了 Spark。

Spark 是什麼？Spark 流動性層是一個自動化資本配置器，把 USDS、sUSDS、USDC 等資產自動分配到各個 DeFi 協議和 RWA 產品中去，以優化收益。[6]

4.2 資產構成

根據 Spark 官方數據，其流動性層總資產約 21 億美刀。

教鏈注意到，超過 90%的資產是鏈上穩定幣，可以追蹤。但那個叫 Anchorage 的機構托管資產佔了 7%左右，這部分是鏈下資產，普通用戶無法穿透。

4.3 風險交換

教鏈認為，從 Aave 到 Spark，不是安全升級，而是風險交換。

在 Aave/Compound 這類協議裡，風險是相對透明的：抵押品是什麼、清算線是多少、代碼開源。風險來源是市場波動或攻擊。

在 Spark 裡，風險引入了新的維度：機構托管、RWA、策略不透明。你不知道 Anchorage 那 1.5 億美刀具體在做什麼，也無法實時監控策略的每一次調倉。

這不是說 Spark 不安全。Spark 自上線以來管理超 40 億美刀資產，保持零安全事故。教鏈想說的是：任何協議都有風險，只是類型不同。普通用戶需要知道自己接受的是什麼風險，而不是盲目相信某個協議永遠安全。

五、歷史對照：四次教訓

教鏈把這些年看到的、經歷的 DeFi 危機放在一起，畫了一張表：

教鏈從這四次事件中，總結出四條教訓：

第一條：不立危牆之下。 出現異常信號，優先假設牆會倒，先撤離。牆沒倒，你損失的是一點 Gas 費和幾天利息。牆真倒了，你保住的是全部本金。

第二條：不信喊話，只看行動。 任何 KOL 或創始人的安撫，都要用其行為驗證。喊話的人不承擔後果，行動的人自己負責。

第三條：保持流動性自由。 永遠不要把自己置於想跑但跑不掉的境地。利用率 100%就是一個典型信號——當你想跑的時候，已經來不及了。

第四條：認清風險交換。 選任何協議前，問自己：換來的是什麼收益，接受的是什麼新風險？鏈上透明風險 vs 鏈下機構風險，市場波動風險 vs 策略失誤風險，沒有絕對安全，只有風險類型不同。

六、終極答案：退出遊戲

6.1 為什麼要退出

教鏈想明白了一件事：只要你在追逐收益，你就永遠暴露在某種風險中。

在 Aave，你暴露在共享池傳導風險。在 Spark，你暴露在機構不透明風險。在穩定幣，你暴露在發行方和監管風險。在封裝 BTC，你暴露在托管方和跨鏈橋風險。

每換一個協議，只是換一種風險。不是升級，是交換。

6.2 教鏈的計劃

利用本輪熊市，把全部或大部在 DeFi 中的資金，逐步轉換成鏈上 BTC。

不是 wBTC，不是 cbBTC，不是任何封裝資產。是原生 BTC。放在自己全權控制的錢包裡。

教鏈認為，這是加密世界裡唯一不需要信任任何第三方的資產狀態。

不依賴協議代碼，不依賴團隊，不依賴抵押品，不依賴托管機構。唯一的依賴：自己保管私鑰的能力。

6.3 代價與責任

鏈上 BTC 不產生利息。這是代價。

私鑰管理風險從協議轉移到了自己身上。這是責任。

轉換過程本身也有風險，需要謹慎操作。

教鏈願意接受這些代價。因為在教鏈看來，不依賴任何人的安全感，值得放棄那百分之幾的所謂年化收益。

6.4 最後一句話

我們進入加密市場，最開始是想找一個不需要信任銀行的地方。轉了一圈，在 DeFi 裡信任了代碼、信任了團隊、信任了安全模塊、信任了 KOL 的喊話……

最後發現，真正的終點，還是回到那個最樸素的起點：自己保管自己的比特幣。

參考資料：

[1] The Block, “Kelp DAO’s rsETH bridge apparently exploited for roughly $292 million in LayerZero-based attack”, Apr 18, 2026

[2] Lookonchain, X post on Aave ETH utilization rate reaching 100%, Apr 19, 2026

[3] Michael Egorov, X post on non-isolated lending risks, Apr 19, 2026

[4] Andre Cronje, X post on PUT withdrawal decision, Apr 19, 2026.

[5] 劉教鏈，蝴蝶風暴，2025 年 11 月 5 日. [連結]

[6] Spark, Spark Liquidity Layer 官方數據