2.92億美元蒸發後，DeFi還值得信任嗎？

2.92億美元，不是被偷走的，而是憑空「製造」出來的。

2026年4月19日，去中心化金融（DeFi）世界發生了今年規模最大的駭客事件。Kelp DAO的流動性再質押代幣「rsETH」遭到攻擊，攻擊者利用跨鏈訊息驗證層的設定漏洞，無中生有地鑄造出116,500枚rsETH——佔總供應量的18%——並將其轉移至自己控制的地址。這不是科幻小說，而是DeFi基礎設施的真實破口。

攻擊是怎麼發生的？「工具沒壞，設定壞了」

要理解這次攻擊，首先要知道LayerZero是什麼。它是一套讓不同區塊鏈之間互相傳遞訊息的基礎設施，而「DVN（去中心化驗證網路）」則是負責驗證這些跨鏈訊息真實性的節點網路。

問題出在哪裡？Kelp DAO的跨鏈設定，將驗證機制簡化到只需要單一節點、單一簽名即可確認訊息有效。攻擊者利用這個近乎形同虛設的驗證層，讓系統誤以為收到了來自另一條鏈的合法指令，進而觸發橋接合約，釋放出大量rsETH。

開發者cryptogoblin的描述一針見血：「合約沒有被破壞，被破壞的是驗證層。」另一位研究者Fishy Catfish則用更直白的比喻說明問題所在：「想像一下，如果遊樂園的雲霄飛車製造商允許每個遊樂園自己決定最低安全規格，會發生什麼事？」

這正是「模組化安全設計」的隱患——在靈活性與安全底線之間，Kelp DAO的設定選擇了前者，付出了沉重代價。

恐慌如何從一個協議蔓延至整個DeFi

駭客攻擊本身的損失已經驚人，但更值得關注的是恐慌的傳染速度。

廣告

廣告合作

[email protected]

廣告

消息傳出後，持有rsETH作為抵押品的大型借貸平台Aave首當其衝。存款人開始大規模撤資，由於無法直接提取ETH，部分用戶選擇借出穩定幣來間接「逃跑」。市場參與者Josu San Martin將這一現象形容為「對Aave的全面擠兌」。

數字說明一切：Aave的總鎖倉量（TVL）從4月18日的264億美元，在短短數小時內暴跌至約200億美元，淨流出超過62億美元。Aave代幣價格同步下跌逾18%。影響範圍甚至延伸至Morpho、Sky、JupLend等無關協議，以及Solana鏈上的平台。

Aave創辦人Stani Kulechov雖然聲明「Aave合約本身未受影響」，但在恐慌面前，理性解釋的力量顯得蒼白。各大協議隨即採取緊急措施，凍結rsETH相關市場，Lido也暫停了相關資產的存款功能。

為什麼這次特別嚴重？四月已成DeFi的「黑色月份」

這次事件並非孤立事故，而是一連串打擊中最沉重的一拳。

2026年4月已成為DeFi近年來最動盪的月份之一。4月1日，Solana鏈上的永續合約協議Drift遭受約2.85億美元的攻擊，事後被指與北韓駭客組織有關。此後，CoW Swap、Zerion、Rhea Finance、Silo Finance等十餘個協議相繼遭殃。

Kelp DAO事件的特殊之處在於，它同時衝擊了三個不同的DeFi領域：跨鏈基礎設施、再質押模型，以及借貸市場。這種多層次的連鎖反應，暴露了DeFi生態系統內部相互依存的脆弱性。

不同立場，不同解讀

對加密貨幣投資者而言，這是一次關於「複雜度即風險」的教訓。流動性再質押代幣（LRT）的設計初衷是讓用戶在鎖定資產的同時保持流動性，但這種複雜的收益疊加結構，也意味著風險的疊加。當一個環節出問題，整條鏈條都可能受到波及。

對區塊鏈開發者而言，爭論的核心是：這是Kelp DAO的個別失誤，還是LayerZero模組化設計的系統性缺陷？LayerZero表示正在與安全機構SEAL共同調查根本原因，並承諾發布完整事後報告。在報告出爐之前，開發者社群已自發呼籲：「檢查你的設定配置。」

對亞洲市場而言，這次事件值得特別關注。亞洲——尤其是台灣、香港、新加坡的華人加密社群——在DeFi用戶中佔有相當比重。DeFi平台往往以「無需許可、人人可用」為賣點吸引這些地區的用戶，但此次事件再度提醒：無需許可，同時也意味著無人負責。

從監管角度看，這次事件將為各地監管機構提供新的論據。香港正積極推動虛擬資產監管框架，新加坡MAS也持續關注DeFi風險。「去中心化」是否應該有最低安全標準，將成為監管討論的核心議題。值得注意的是，中國大陸對加密貨幣的全面禁令，使其用戶幾乎不受此次事件的直接衝擊，但這也意味著大陸用戶被隔絕在這個全球金融創新浪潮之外。