2026年DeFi最大劫案：黑客伪造跨链消息窃取2.92亿美元并转嫁风险至Aave

事件背景：一次精心策划的攻击

4月18日晚间17:35（UTC），一个通过Tornado Cash清洗过的钱包向LayerZero的EndpointV2合约发送了一条伪造的跨链消息。这条消息声称某条链上的用户希望将rsETH跨回以太坊主网。LayerZero和Kelp DAO的桥接合约均未检测到异常，最终释放了116,500枚rsETH（约合2.92亿美元）到攻击者控制的地址。

然而，问题在于另一条链上根本没有人存入这笔rsETH。整个跨链请求是凭空伪造的，而LayerZero和Kelp的桥接合约却完全信任了这一指令。

攻击过程：三次尝试与紧急冻结

在首次得手后，攻击者并未停止行动。18:26和18:28 UTC，攻击者又发起了两次尝试，试图再次提取40,000枚rsETH（约1亿美元）。但此时Kelp DAO的紧急多签已在18:21 UTC冻结了主网和多条L2上的rsETH核心合约，阻止了后续攻击。

Kelp DAO在20:10 UTC发布了第一条公开声明，宣布发现涉及rsETH的可疑跨链活动，并已暂停相关合约运行。与此同时，链上侦探ZachXBT迅速锁定了六个与本次盗窃相关的钱包地址，进一步确认了攻击者的资金来源。

攻击升级：将风险转嫁给Aave

如果仅是桥接漏洞，这次事件可能只是一次高额损失的事故。但攻击者显然经过深思熟虑，他们并未选择直接抛售rsETH，而是将其作为抵押品存入Aave V3，借出了价值约2.36亿美元的wETH。

这一步操作为何致命？因为Aave的合约在那一刻仍按照rsETH的预言机价格计算抵押品价值，而实际上桥内的储备已被清空，这批rsETH已失去经济底层支撑。攻击者成功将资金变现的风险转嫁给了Aave的wETH储备池。

Aave的Umbrella系统面临首次大考

此次事件成为Aave新一代后备系统Umbrella的首次重大实战压力测试。Umbrella的设计逻辑是通过质押aToken（如aWETH、aUSDC等）来为资产池提供保险，当出现赤字时，质押资产将被按比例削减以弥补损失。

然而，1.77亿美元的坏账规模远超以往的小额赤字，对Umbrella系统的覆盖能力提出了严峻挑战。Aave官方表示将动用Umbrella资产弥补财务缺口，但具体slashing比例和质押者本金折损程度尚需等待结算完成。

跨链桥的原罪：流动性危机的连锁反应

被偷走的rsETH不仅是单一资产，更是支撑多个L2网络上wrapped版rsETH的储备。Kelp DAO的主网金库被掏空了18%，导致下游所有分渠的水压崩塌。

一旦L2上的持有者恐慌性赎回，压力将传导至未受影响的以太坊供应端，可能迫使Kelp解除re-staking头寸以满足提款请求。然而，EigenLayer的撤回有延迟期，底层validator的退出也有排队期，Kelp可能无法及时准备偿付弹药。

行业震荡：借贷协议集体冻结rsETH市场

恐慌情绪迅速蔓延至整个DeFi借贷板块。Aave V3和V4冻结了rsETH市场，SparkLend、Fluid等平台也跟进冻结。Ethena虽无直接敞口，但仍暂停了其LayerZero OFT桥接功能。Lido Finance暂停了earnETH产品的新增存款，强调stETH和wstETH不受影响。

这场风波揭示了LRT（流动性再质押代币）作为抵押品的风险。未来几个月，所有将LRT列为高等级抵押品的借贷协议可能需要重新评估风险参数，甚至下架相关资产。

深潮评论：DeFi安全任重道远

此次事件暴露了DeFi生态中“可组合性”的双刃剑效应。虽然它带来了强大的网络效应，但在攻击者手中却成为放大器。随着协议之间的依赖关系愈发紧密，攻击面也随之扩大。

DeFi的安全之路依然漫长，如何在创新与风险管理之间找到平衡，将是行业持续探索的课题。