2026 年 4 月 18 日,流動性再質押平台 Kelp DAO 遭到黑客攻擊,導致約 2.93 億美元的資產被竊取。此次事件不僅讓 Kelp 緊急暫停 rsETH 合約,更因「可組合性風險」蔓延至 Aave 等 9 個主流協議,成為 2026 年以來規模第二大的 DeFi 安全事故。
事件核心:一場「跨鏈橋」引發的資金大劫案
在 2026 年 4 月 18 日週六,DeFi 圈爆發了今年以來最嚴重的資安危機之一。知名流動性再質押協議(LRT)Kelp DAO 正式確認,其 rsETH 轉接橋合約(Adapter Bridge Contract) 存在漏洞,遭黑客精準打擊。
根據區塊鏈安全公司 Cyvers 的追蹤報告,黑客利用該合約漏洞,在短短一小時內洗劫了約 2.93 億美元的資金。這筆鉅款隨後被迅速轉移:
- 資金來源: 黑客地址由隱私洗幣協議 Tornado Cash 資助(以掩蓋交易痕跡)。
- 資金轉換: 被盜後,黑客已將其中約 2.5 億美元兌換為以太幣(ETH)。
- 緊急應變: Kelp 已暫停包括以太坊主網及多個 Layer 2(L2)上的 rsETH 合約,目前仍在深入調查。
為什麼會連累 Aave?揭秘 DeFi 的「跨協議感染」
這次攻擊最令投資人恐慌的,不是單一平台的虧損,而是 跨協議感染(Cross-protocol Contagion)。
1. 什麼是「可組合性風險」?
DeFi 就像「金融樂高」,Kelp 的 rsETH 代幣被廣泛當作抵押品存入其他借貸平台(如 Aave)。當 rsETH 價值出現崩潰風險時,這些平台也會跟著遭殃。
2. 蔓延規模
- Aave 應對: 去中心化借貸龍頭 Aave 已緊急宣布凍結 Aave V3 與最新的 V4 市場中所有關於 rsETH 的交易。
- 九大協議停擺: 除 Aave 外,至少還有 8 個協議因為持有或整合了 rsETH,不得不暫停活動以防止虧損擴大。
Cyvers 執行長 Deddy Lavid 直言:「這正是 DeFi 可組合性帶來的結構性風險。一個環節斷裂,整個金融鏈條都會震動。」
2026 年黑客新手段:從「攻代碼」轉向「攻人心」
這次 Kelp 的災難並非孤例。回顧 2026 年第一季,加密貨幣因駭客與詐騙導致的損失高達 4.82 億美元。而 4 月份更是一波未平一波又起:
| 平台名稱 | 攻擊時間 | 損失金額 | 主要原因 |
|---|---|---|---|
| Kelp DAO | 2026/04/18 | $293M | rsETH 橋接合約漏洞 (Bridge Exploit) |
| Drift Protocol | 2026/04 | $280M | 北韓駭客滲透、社交工程 (Social Engineering) |
| Fake Ledger App | 2026/01 | $9.5M | 釣魚軟體 (Phishing) |
深度分析: 值得注意的是,2026 年的攻擊策略已明顯進化。以 Drift Protocol 為例,駭客並非直接破解代碼,而是透過長達數月的「社交工程」,在開發者大會上潛伏、與團隊建立信任,最後植入惡意軟體。這顯示 「人的漏洞」 正在成為 Web3 安全的最薄弱環節。
投資者如何自保?再質押風險教學
面對 Kelp 這樣的巨頭倒下,投資者應掌握以下三個風險評估指標:
- 關注 Oracle(預言機)價格偏移: 當 rsETH 這類代幣在二級市場出現嚴重脫鉤(De-peg)時,應立即評估槓桿倉位。
- 分散協議風險: 不要將所有 LST(流動性抵押代幣)或 LRT 集中在單一協議,尤其是在多鏈擴張極快的初期階段。
- 檢查監測工具: 善用如 Cyvers 或 PeckShield 的即時推文通知,這些安全公司通常比官方公告更早發現異常鏈上動態。
關於Kelp 相關的問與答
Q1:什麼是流動性再質押(LRT)?
答:這是一種讓你在以太坊質押後,還能領到一個「憑證代幣」(如 rsETH)的技術。你可以拿著這個憑證去其他平台借錢或賺收益,讓資金運用效率最大化。
Q2:為什麼 Kelp 暫停合約了,我的錢還是可能拿不回來?
答:當合約暫停時,你無法進行轉帳或提現。如果黑客已經將池子裡的資產抽乾,即便合約恢復,兌付也可能面臨困難,需等待官方的補償計畫或保險撥付。
Q3:這會導致以太坊(ETH)大跌嗎?
答:雖然 2.93 億美元對 DeFi 是巨款,但對於整體以太坊市值而言相對較小。不過,這會打擊市場對「再質押生態」的信心,短期內可能造成相關板塊的拋售壓力。
