剛剛我在DeFi的過去幾年中遇到最瘋狂的故事之一。 4月18日，整整46分鐘——這就是耗費時間將2.93億美元從生態系統中洗出來。 談論的是Kelp橋的被攻擊事件，這不僅僅是又一次漏洞利用，而是一場系統性危機，展示了去中心化金融架構的脆弱性。

事情是這樣發生的。 惡意攻擊者利用了運行在LayerZero上的Kelp DAO跨鏈橋的漏洞。 但問題在於——這不是程式碼錯誤。這是配置錯誤。 Kelp使用了所謂的DVN 1之1配置，也就是只有一個驗證節點負責驗證所有鏈之間的訊息。 一個節點。 想像一下？ 惡意攻擊者要么攻破它，要么欺騙它，傳送偽造的訊息，結果橋就這樣釋放出116,500個rsETH，約合2.93億美元，完全沒有任何擔保，憑空創造出來的。

接下來最精彩的部分開始了。 攻擊者沒有將代幣拋向市場，而是進行了精確的操作。 他將這個偽造的rsETH作為抵押在Aave中，借出了真實的WETH，然後在Aave V4上重複同樣的操作。 當Kelp能夠凍結合約時，(已過去46分鐘)，真實資產已經消失。 嘗試再進行兩次攻擊都失敗了，因為系統已經被凍結。

接下來發生的事情是一連串的崩潰。 Aave陷入了1.96億美元的無望債務，因為rsETH變得一文不值。 WETH池達到100%的利用率，使用者無法提取資金。 Aave的TVL從260億美元跌至220億美元，僅一天損失了66億美元。 AAVE代幣下跌20%，但目前已回升至98.91美元，過去24小時漲幅3.31%。

恐慌源於5.4億美元的資金撤出。 人們驚恐之下紛紛撤離協議。 這是典型的銀行擠兌，但在DeFi中，這只需幾個小時，而非幾天。

事件至少波及九個其他平台——SparkLend、Fluid、Lido (其產品EarnETH)、Compound、Euler，以及其他幾個。 它們要么凍結了rsETH市場，要么暫停了操作，作為預防措施。 甚至連完全沒有rsETH暴露的Ethena，也因恐懼而暫停了LayerZero的橋接。

令我震驚的是這個故事的非技術層面。 Kelp的程式碼本身是正常的。 這是配置的選擇。 Curve的Michael Egorov總結得很好：當你信任單一方——無論是誰——事情就可能發生。 這並沒有違反LayerZero的任何規則——協議只是允許這樣的配置。

至於資金——幾乎不可能追回。 黑客迅速通過Tornado Cash洗錢，將資金分散到多個錢包。 ZachXBT找出了六個與攻擊者相關的錢包，這些錢包在被攻擊前幾個小時就已經預先用混幣器資助。 Justin San提議“與黑客對話”，但這更像是一場表演。

2026年對DeFi來說簡直是地獄。 在Kelpa之前，還有幾次重大被攻擊事件——Resolv Labs在三月損失約8000萬，Drift Protocol在4月1日損失2.85億（後來與北韓行動者有關），還有CoW Swap、Zerion、Rhea Finance以及其他十幾個較小的協議。 2026年的總損失已超過4.5億美元，涉及約45個協議。

對投資者來說，這意味著幾件事。 首先，即使在“安全”平台上，流動性風險依然存在。 當TVL下降，池子被用滿，甚至那些沒有接觸被攻擊資產的人也可能被卡住，無法提取資金。 其次，DeFi的複合性具有雙刃劍的效果。 同樣的相互聯繫讓系統強大，但也成為最迅速的傳染渠道。 一個協議的漏洞可能在幾分鐘內演變成系統性事件。

第三，跨鏈資產支持並不保證。 rsETH在20多個網絡中仍處於不確定的支持狀態，直到Kelp公布經過驗證的儲備對帳。 任何接受wrsETH作為抵押的用戶，都面臨風險。

行業將會引入多個DVN的強制要求，用於橋接，對借貸協議制定更嚴格的標準，以及對LayerZero整合進行全面審計。 但這裡的教訓更深——這不僅是技術問題，而是關於DeFi中信任哲學的問題。 一個潛在的假設是，流動性代幣的補充品與基礎ETH一樣安全，只要協議具有權威性。 這個前提已經崩潰。

現在，許多人正在重新審視他們對DeFi的看法。 Ledger的安全主管表示，2026年可能會成為被攻擊最嚴重的一年，並且對DeFi的信任正受到積極破壞。 這是一個合理的觀點。 當一個配置選擇就能讓2.93億美元被洗出，並引發數十億美元的恐慌時，我們不得不重新思考我們所謂的“安全”在這個領域的意義。