年度最大劫案:黑客通过跨链桥从 Kelp DAO 协议盗取 2.92 亿美元
对流动性再质押协议 Kelp DAO 的一次黑客攻击导致超过 116,000 枚 rsETH 代币丢失,价值约 2.92 亿美元。该事件发生在 2026 年 4 月 20 日晚间,是 DeFi 历史上规模最大的攻击之一。攻击者利用了 OFT 标准跨链桥中的一个漏洞,在几分钟内将资金抽走。项目团队迅速暂停了合约操作,避免了额外 1 亿美元的损失。
攻击机制与损失规模
攻击者在攻击前约 10 小时通过 Tornado Cash 混币器预充值了一个钱包。UTC 时间 17:35,LayerZero 合约中的 lzReceive 函数被触发,随后跨链桥自动将 116,500 枚 rsETH 代币(约占 630,000 枚总供应量的 18%)转移至黑客控制的地址。以太坊和 Arbitrum 网络承受了大部分损失。试图提取另外 40,000 枚 rsETH(1 亿美元)的行为被攻击发生 46 分钟后启动的紧急停止系统阻止。
团队响应与生态系统影响
Kelp DAO 开发者激活了紧急暂停,影响了存款池、提款合约、预言机以及 rsETH 代币本身。主网和多个 Layer 2 网络上的操作均已停止。该事件引发了市场恐慌:AAVE 代币下跌 10%,原因是担心借贷平台上出现不良债务。Aave 团队冻结了 V3 和 V4 中的 rsETH 市场,强调漏洞是 rsETH 特有的,而非他们的智能合约问题。
跨链桥漏洞
此次攻击再次凸显了跨链桥的安全问题,跨链桥是黑客的频繁攻击目标。Kelp DAO 使用的 OFT 标准桥支持在超过 20 条区块链之间进行代币转移,包括 Base、Arbitrum、Linea、Blast、Mantle 和 Scroll。专家指出,此类系统的复杂性增加了攻击面,而使用 Tornado Cash 等混币器则使资金追踪更加困难。
关键要点
- 黑客盗取了 2.92 亿美元,占所有 rsETH 代币的 18%。
- 攻击得以实施是由于 OFT 标准跨链桥中的一个漏洞。
- Kelp DAO 通过暂停合约避免了额外 1 亿美元的损失。
- 该事件导致 AAVE 价格下跌 10%,并冻结了 Aave 上的 rsETH 市场。
- 线索指向 Tornado Cash,增加了识别攻击者的难度。
— Editorial Team
暂无评论。