48小時蒸發130億美元：DeFi骨牌效應的警示

一個協議的漏洞，讓整個生態系統在兩天內蒸發了131億美元。

這不是科幻小說的情節，而是2026年4月這個週末真實發生的事。KelpDAO橋接協議遭到攻擊，成為引爆這場連鎖反應的第一張骨牌。理解這場危機的結構，比記住那個驚人的數字更為重要。

事件始末：一場精心設計的「假幣騙貸」

攻擊者鎖定的目標是KelpDAO的跨鏈橋接驗證層。透過利用驗證機制的漏洞，攻擊者偽造了大量rsETH——一種在DeFi生態中被廣泛用作抵押品的流動性再質押代幣（Liquid Restaking Token）。這批rsETH沒有任何真實資產背書，卻被攻擊者拿到多個借貸協議上作為抵押，借出真實資金，總規模達2.92億美元（約新台幣95億元）。

這個手法的邏輯其實並不複雜：把假鈔存進銀行，再用假鈔做抵押貸出真錢，最後留給銀行一堆壞帳。只不過在DeFi的世界裡，這個過程可以在幾分鐘內完成，且橫跨多條區塊鏈。

LayerZero隨後發表聲明，將此次攻擊歸咎於北韓駭客組織Lazarus Group，並指出問題源於Kelp自身的橋接設定，而非智能合約本身的程式碼缺陷。這個細節至關重要：這意味著即便通過了嚴格的智能合約審計，系統仍可能存在被利用的空間。

數字背後的連鎖崩塌

各協議在察覺異常後迅速凍結了受影響的市場。然而，「凍結」這個保護性動作，反而成為恐慌蔓延的催化劑。用戶擔心自己的資產被鎖死，開始從所有相關平台大規模撤資——包括那些與此次攻擊毫無直接關聯的協議。

結果是觸目驚心的。DeFi整體TVL（鎖倉總價值）在48小時內從990億美元驟降至862億美元，跌幅達131億美元。作為DeFi最大借貸平台的Aave，單獨流出存款高達84.5億美元，TVL縮水至179億美元。Euler、Sentora等平台也錄得雙位數百分比的跌幅，重災區集中在借貸、再質押及與受影響抵押品相關的收益策略。

廣告

廣告合作

[email protected]

廣告

值得關注的是，代幣價格的跌幅遠小於資金流出的規模。AAVE代幣24小時內僅跌約2.5%，UNI和LINK跌幅均不足1%。資金在逃離，但市場並未崩潰。

Presto Research研究主管Peter Chung在報告中指出：「此次事件揭示了跨鏈基礎設施，尤其是橋接驗證系統的風險。它同時也表明，DeFi協議的高度互聯性，能夠將衝擊傳導至與原始漏洞並無直接關聯的平台。」

為何此刻格外值得關注

時間點本身就耐人尋味。DeFi的TVL在事件發生前夕剛剛站上千億美元大關，這個里程碑象徵著去中心化金融正式進入機構投資者無法忽視的規模。然而，慶祝的墨水未乾，系統性風險便以最直接的方式登場。

對於亞洲市場的加密貨幣投資者而言，這場危機有幾層值得深思的意義。

首先是地緣政治維度。Lazarus Group的介入再次提醒市場，加密貨幣基礎設施已成為國家級網路攻擊的目標。這對正在積極發展Web3產業的新加坡、香港及台灣而言，是一個不容迴避的安全命題。

其次是監管走向。香港金融管理局與新加坡金融管理局（MAS）近年來都在積極為加密資產建立監管框架，此次事件可能加速推動跨鏈橋接服務被納入更嚴格的合規要求。而中國大陸持續的加密禁令，某種程度上讓境內投資者避開了這次直接衝擊，但透過境外帳戶參與DeFi的灰色地帶投資者，則未必如此幸運。

三種不同的解讀視角

DeFi原教旨主義者會說：這正是去中心化的意義所在——沒有單一機構可以被「監管走」，系統在壓力下自我修復。TVL的下跌是市場的自我淨化，不是系統的失敗。

傳統金融觀察者則會指出：2008年金融危機的教訓歷歷在目。那時，住房抵押貸款的風險透過複雜的衍生品結構傳導至全球金融體系。DeFi的「可組合性（composability）」——也就是協議之間相互堆疊的特性——在創造效率的同時，也在複製同樣的系統性脆弱。

監管機構的視角則更為複雜：究竟應該規範哪個環節？橋接協議的開發者？代幣的發行方？借貸平台？DeFi的去中心化設計，讓「責任歸屬」本身就成為一道難題。