46分鐘，29.2億美元消失：DeFi最大漏洞警示錄

2.92億美元，46分鐘，20條區塊鏈。這不是電影情節，是2026年4月18日星期六發生的真實事件。

事件經過：一條假指令引發的連鎖崩塌

台灣時間4月19日凌晨1點35分，攻擊者向Kelp DAO的跨鏈橋發動攻擊。他們的手法是欺騙LayerZero的跨鏈訊息層——這套基礎設施負責讓不同區塊鏈之間傳遞經過驗證的指令——讓橋接合約誤以為收到了來自其他網絡的合法指令。橋接合約隨即將116,500枚rsETH釋放至攻擊者控制的地址。

按當前價格計算，這批代幣價值約2.92億美元，佔rsETH流通總量63萬枚的約18%。

Kelp DAO是什麼？簡單說，它是一個「流動性再質押協議」：用戶存入ETH，協議通過EigenLayer路由，在標準以太坊質押收益之上賺取額外報酬，並向用戶發行rsETH作為可交易的憑證代幣。rsETH已部署至Base、Arbitrum、Linea、Blast、Mantle、Scroll等超過20條區塊鏈，而這次被盜的橋接合約，正是支撐所有這些鏈上rsETH的核心儲備庫。

攻擊發生46分鐘後，Kelp的緊急暫停多簽合約才凍結了核心合約。其後兩次試圖追加盜取約1億美元的攻擊均告失敗。而Kelp在X平台發出第一則公開聲明，已是事發近3小時後。

蔓延：誰在第一時間踩了剎車

儲備金消失的消息迅速在DeFi生態中引發連鎖反應。

Aave率先凍結V3和V4上的rsETH市場，創辦人Stani Kulechov表示Aave合約本身未受波及，但市場仍將AAVE股價打低約10%，反映對潛在壞帳風險的擔憂。SparkLend與Fluid同步凍結rsETH市場。Lido Finance暫停旗下持有rsETH敞口的earnETH產品的新增存款，同時澄清stETH與wstETH不受影響。穩定幣發行商Ethena則預防性地暫停LayerZero OFT橋接約六小時，並強調自身無rsETH敞口、抵押率仍維持在101%以上。

廣告

廣告合作

[email protected]

廣告

這場連鎖凍結揭示了一個現實：在高度互聯的DeFi世界裡，一個橋接合約的失守，足以讓整個生態進入防禦模式。

為什麼現在特別值得關注

Kelp事件發生在一個格外敏感的時間點。2026年以來，DeFi攻擊持續密集：4月1日，Solana上的永續合約協議Drift遭盜約2.85億美元，事後被指與北韓相關駭客組織有關；此後數週，CoW Swap、Zerion、Rhea Finance、Silo Finance等協議相繼遭到規模不等的攻擊。Kelp的2.92億美元損失，現已成為2026年最大單筆DeFi漏洞。

對華人加密貨幣社群而言，這起事件的意義不止於數字。台灣、香港、新加坡及東南亞的DeFi用戶在過去兩年間大幅增加對跨鏈協議的使用，部分機構和散戶投資者持有rsETH及相關衍生品。20條鏈上的持倉者如今面臨一個核心問題：手中的代幣，還有沒有東西在背後撐著？

從監管角度看，香港證監會（SFC）與新加坡金融管理局（MAS）近年持續推進加密資產監管框架，但跨鏈橋的風險評估至今仍是監管盲區。這次事件或將加速相關討論。

結構性問題：「分散」的幻覺

這起事件最值得深思的，不是攻擊手法有多高明，而是架構設計本身埋下的風險。

rsETH部署在超過20條鏈上，表面上看是「分散化」的典範。但所有這些鏈上代幣的裏付，都集中在同一個橋接合約的儲備庫中。一旦這個單點失守，整個多鏈生態的信用基礎同時動搖。這是「分散」，還是「集中風險換取便利性」的另一種包裝？

勝者與敗者的輪廓已逐漸清晰。直接受損的是20條鏈上的rsETH持有者，以及在Aave、SparkLend、Fluid上使用rsETH作為抵押品的用戶——後者因市場凍結而暫時無法操作資產。相對受益的，是那些在事發前已退出rsETH敞口的用戶，以及Ethena等及時澄清自身安全狀況的協議，避免了更大範圍的恐慌蔓延。

攻擊者能否在資金流入Tornado Cash之前被追蹤？Kelp能否回收部分損失？rsETH的錨定能否撐過這個週末？這些問題的答案，將決定這次事件是一個可控的局部危機，還是更大規模信心崩塌的起點。