🔥 WCTC S8 全球交易賽正式開賽!
8,000,000 USDT 超級獎池解鎖開啟
🏆 團隊賽:上半場正式開啟,預報名階段 5,500+ 戰隊現已集結
交易量收益額雙重比拼,解鎖上半場 1,800,000 USDT 獎池
🏆 個人賽:現貨、合約、TradFi、ETF、閃兌、跟單齊上陣
全場交易量比拼,瓜分 2,000,000 USDT 獎池
🏆 王者 PK 賽:零門檻參與,實時匹配享受戰鬥快感
收益率即時 PK,瓜分 1,600,000 USDT 獎池
活動時間:2026 年 4 月 23 日 16:00:00 - 2026 年 5 月 20 日 15:59:59 UTC+8
⬇️ 立即參與:https://www.gate.com/competition/wctc-s8
#WCTCS8
#AaveLaunchesrsETHRecoveryPlan
DeFI 2026 年最大危機與隨之而來的行業救援
動搖 DeFI 基礎的駭客事件
2026 年 4 月 18 日將被記為去中心化金融史上最黑暗的日子之一。一名攻擊者利用 Kelp DAO 的 LayerZero 支援橋接,盜取了 116,500 個 rsETH — 約 2.9 億美元,約佔該代幣流通供應的 18% — 觸發了核心合約的緊急暫停。由於該橋在超過 20 個網絡上持有支持 rsETH 的儲備,這次損失立即引發對 layer 2 上 rsETH 支持的質疑,並引發包括 Aave、SparkLend 和 Fluid 在內的協議的市場凍結潮。
這次攻擊既非隨機也非粗糙。初步指標顯示,攻擊者可能來自北韓的 Lazarus 集團,特別是 TraderTraitor。關鍵的是,這不是智能合約駭客,而是對鏈下基礎設施的高級攻擊 — 攻擊者入侵內部 RPC 節點,並對外部節點進行 DDoS 攻擊,以向單點故障驗證網絡提供虛假數據。這一策略欺騙以太坊合約,基於源鏈上的幻象代幣燃燒釋放資金。
不到一小時內,區塊鏈史上最複雜且協調一致的劫案之一完成 — 損失影響遠超 KelpDAO 本身,直接波及全球最大 DeFi 借貸協議 Aave 的帳簿。
---
攻擊的實際運作方式:46 分鐘的混亂大師課
要理解這場危機的規模,必須精確理解攻擊的機制。這次漏洞在約 46 分鐘內分階段展開,始於 2026 年 4 月 18 日 18:52 UTC。攻擊者利用了 KelpDAO 的 LayerZero 橋接配置中的缺陷 — 特別是用於驗證跨鏈消息的 1 對 1 DVN (單一簽名驗證)。攻擊者並未駭入區塊鏈本身 — 他們操控了告知一條鏈上代幣存在於另一條鏈的消息驗證系統。
攻擊的操作精密度令人驚嘆。被修改的節點向 LayerZero DVN 提供偽造數據,同時繼續向其他查詢系統(包括監控服務)返回真實數據。這些節點還被設計成在攻擊窗口結束後自我銷毀,清除惡意二進制文件、日誌和配置。外部 RPC 節點也遭到分散式阻斷服務(DDoS)攻擊,迫使 DVN 依賴被入侵的內部節點。
Kelp 的緊急多簽在成功抽走資金 46 分鐘後凍結了協議的核心合約。隨後的兩次嘗試也都失敗了,每次都企圖進行大規模抽資。攻擊者行動有條不紊、準備充分,展現出與國家支持能力相符的技術水平。
---
責任歸屬遊戲:KELPDAO 與 LAYERZERO
幾乎在漏洞曝光後不久,KelpDAO 與 LayerZero 之間爆發了責任歸屬爭議。LayerZero 表示,受影響的配置依賴於 1 對 1 DVN 設置,這與建議的多驗證者安全實踐相矛盾。
KelpDAO 反駁,認為被入侵的基礎設施屬於 LayerZero 自身,且類似配置在整個生態系統中被廣泛使用。這場爭議迅速在加密貨幣圈擴散,數百萬美元的用戶資金仍處於被入侵狀態。
---
AAVE:外部漏洞的抵押品受害者
在責任歸屬爭論的同時,Aave 面臨財務衝擊。攻擊者借出超過 82,600 ETH — 約 1.95 億美元 — 使用被盜的 rsETH 作為抵押,造成大量壞帳。
Aave 確認其系統未被入侵,但影響立刻顯現。用戶大量撤出流動性,導致約 100 億美元資金外流,總鎖倉價值急劇下降。市場信心受挫,迫使緊急行動。
---
DeFi 聯合:救援聯盟集結
隨後展開的是前所未有的行動。一個名為 DeFi United 的協同行業恢復行動出現,旨在穩定生態系統並重建信心。
主要貢獻者承諾提供支援。合計承諾金額達數萬 ETH,包括協議、公司和個人領袖的捐助。該行動旨在恢復 rsETH 的支持,並保護受影響的用戶。
這是去中心化金融中罕見的團結時刻 — 一個由實資本支持的集體回應。
---
25,000 ETH 提案:AAVE DAO 進入治理階段
恢復計劃的核心是向 Aave DAO 提出治理提案,建議從其金庫中撥出 25,000 ETH。
該提案包括有條件的結構安排,如重新開放提款、恢復橋接運作和釋放凍結資金。它還允許使用金庫資產和未來收入作為恢復框架的一部分。
這是 DeFi 歷史上最大規模的協調性恢復承諾之一。
---
Mantle 的生命線:結構化信貸設施
除了直接捐助外,Mantle 提議提供最高 30,000 ETH 的信貸設施,以支持 Aave。
該設施包括結構化的還款條款、與質押收益掛鉤的利率,以及與協議收入和治理代幣相關的抵押品要求。此機制提供長期財務彈性,而非迫使立即清算。
---
Arbitrum 冻結資金:關鍵一環
恢復方案的一個重要部分是 Arbitrum 安全部門凍結的約 30,766 ETH。
已提出將這些資金轉入恢復池的建議,但治理時間表可能延遲資金的部署,造成資金能否快速動用的不確定性。
---
數字現狀:進展但尚未完成
到 2026 年 4 月底,已籌集約 1.6 億美元用於彌補損失,仍有差距待填補。
恢復工作仍在進行中,進展取決於治理批准、資金釋放和承諾的執行。
---
更深層的教訓:DeFi 的結構性弱點
這次危機凸顯了去中心化金融的根本問題 — 跨鏈橋接的脆弱性。
這次漏洞並非智能合約的缺陷,而是驗證系統在跨鏈通信中的弱點。這些系統仍是 DeFi 基礎設施中最薄弱的環節之一。
行業已通過升級和加強安全措施來應對,但更廣泛的挑戰仍未解決。
Aave牽頭發起了一項名為「DeFi聯合」的大規模恢復行動,以應對由KelpDAO橋接漏洞造成的$292 百萬rsETH短缺,前所未有地聚集了主要DeFi協議,展現行業團結的力量。
事件經過:
2026年4月18日,Kelp DAO遭遇了一次毀滅性的$292 百萬橋接漏洞,將其廣泛使用的rsETH (重新抵押的ETH)代幣從可信的抵押資產轉變為系統性協議風險的源頭。此次攻擊歸咎於北韓黑客組織TraderTraitor,針對Kelp的跨鏈橋接基礎設施。
攻擊詳情:
- 被盜總額:$292 百萬加密貨幣
- 額外阻擋攻擊:40,000 rsETH (-$95 百萬)
- 方法:利用1對1驗證器配置漏洞
- 主要目標:跨鏈橋驗證流程
DeFi聯合恢復計劃:
為避免漏洞在DeFi生態系統中擴散,Aave啟動了「DeFi聯合」——一個由主要行業參與者共同協作的恢復行動,致力於恢復rsETH的支持並防止系統性傳染。
主要參與者:
- Aave:領導恢復行動
- Lido:主要流動抵押提供者
- EtherFi:再抵押協議
- Ethena:合成美元協議
- 其他主要DeFi協議:提供救援基金
Aave的承諾:
Aave創始人兼CEO Stani Kulechov已個人承諾捐贈5,000 ETH至救援基金,展現領導責任感。Aave DAO也在考慮提供25,000 ETH的龐大金庫貢獻,以幫助恢復Kelp DAO的rsETH支持。
立即的協議反應:
漏洞發生後,Aave採取果斷行動控制風險:
2026年4月18日:
- 冻結所有rsETH市場
- 阻止對rsETH抵押品的新借款
- 啟動緊急協議
2026年4月19日:
- 冻結多個WETH市場
- 調整非核心市場的利率
- 在核心市場實施WETH利率調整
- 監控rsETH事件的後續影響
攻擊者的Aave策略:
令人驚訝的是,攻擊者並未立即拋售被盜的rsETH,而是在以太坊和Arbitrum網絡中將近90,000 rsETH作為抵押品存入Aave。這使他們能借出約$190 百萬的ETH及其他資產,形成複雜的清算場景。
恢復方案:
Aave治理已提出多種應對壞帳的方法:
情景一:統一分攤損失
- 損失在所有WETH市場中分攤
- 以太坊核心WETH包括在削減中
- 影響範圍廣泛,但維持系統穩定
情景二:損失局限於L2 rsETH
- 影響限制在Layer 2市場
- 以太坊核心市場受到保護
- L2參與者的損失集中
技術實施:
Aave已與KelpDAO和LayerZero達成協議,確定實施恢復計劃所需的技術步驟。合作重點包括:
- 改善橋接安全性
- 升級驗證機制
- 多DVN (去中心化驗證網絡)
- 強化監控系統
結構性問題:
Kelp DAO漏洞凸顯DeFi基礎設施中的關鍵脆弱點:跨鏈橋雖被宣傳為去中心化基礎設施,但仍是單點故障。Kelp依賴的「1對1驗證器配置」使攻擊者得以污染驗證流程。
LayerZero的立場:
LayerZero,作為底層消息傳遞協議,曾建議Kelp DAO從單一DVN配置遷移。公司強調:「沒有任何單一DVN應成為信任或失效的單點。」
Kelp DAO的回應:
Kelp DAO指出LayerZero的文件,並表示單一DVN設置是官方推薦的配置。該協議已暫停相關合約並將攻擊者的錢包列入黑名單,成功阻止第二次攻擊。
北韓的關聯:
此漏洞被歸咎於北韓TraderTraitor黑客組織,該組織是政權持續進行加密貨幣盜竊行動的一部分。北韓黑客在2025年單獨盜取超過$2 億美元的加密貨幣,自2017年以來總盜取金額估計約$6 億美元。
行業影響:
對於DeFi安全:
- 跨鏈橋需加強安全模型
- 多簽驗證變得必要
- 實時監控系統必備
- 橋接風險的保險機制
對於協議治理:
- 緊急應對流程
- 龐大資金池的分配
- 多協議協作
- 風險評估框架
對於用戶:
- 資產抵押多元化
- 理解橋接風險
- 監控協議健康
- 利用保險產品
市場影響:
AAVE代幣已成為恢復努力成功的情緒指標。雖然價格走勢不能完全解釋風險規模,但市場反應反映出對DeFi聯合行動的信心。
會計與監管問題:
此漏洞引發了關於:
- DAO控制與集中化
- 協議費用的收入確認
- 治理風險披露
- 保險與恢復的會計處理
- 跨鏈資產的監管合規
經驗教訓:
技術層面:
- 必須消除單點故障
- 需要冗餘驗證機制
- 實時監控至關重要
- 緊急暫停功能可挽救資金
治理層面:
- 多協議協作是可行的
- 危機中行業團結很重要
- 龐大資金儲備提供穩定
- 領導承諾建立信心
風險管理:
- 橋接風險具有系統性
- 抵押品多元化至關重要
- 需開發保險產品
- 用戶教育至關重要
展望未來:
DeFi聯合恢復計劃代表行業的轉折點。若成功,將證明DeFi能自我組織,應對系統性威脅而無需中心化干預。
恢復工作仍在進行中,Stani Kulechov表示Aave與合作夥伴正「不間斷」努力。結果可能影響DeFi架構、治理模型及風險管理實踐多年。
需關注的關鍵指標:
- rsETH的掛鉤恢復
- 不良債務的解決進展
- AAVE代幣表現
- 跨鏈橋升級
- 保險產品開發
KelpDAO漏洞及隨後的恢復行動最終可能通過暴露脆弱點並展現行業在危機中集體行動能力,進一步鞏固DeFi。