2.92億美元消失的那一刻，DeFi的信任神話破碎了

系統運作完全正常。這才是最危險的地方。

2026年4月19日，UTC時間17時35分，Kelp DAO的跨鏈橋在46分鐘內流失了116,500枚rsETH，按當前市價折合約2.92億美元。沒有密碼被破解，沒有私鑰被竊取——攻擊者做的，是說服系統相信一件從未發生的事。

事件全貌：被欺騙的不是漏洞，而是信任本身

要理解這次攻擊，需要先理解Kelp DAO的運作邏輯。用戶將ETH存入協議後，資金會透過EigenLayer進行再質押（restaking），賺取額外收益，同時獲得代表存款憑證的rsETH代幣。這些rsETH透過LayerZero跨鏈訊息基礎設施，以「包裝版本」的形式部署在超過20條區塊鏈上。

攻擊者的手法精準而冷靜：偽造一條看似合法的跨鏈轉帳訊息，讓LayerZero相信指令來自另一條網路，誘使橋接合約釋出116,500枚rsETH至攻擊者控制的地址。關鍵在於，代幣從未真正離開發送端鏈——這等同於憑空「印出」了一批沒有抵押品支撐的代幣。

Kelp DAO的緊急暫停機制在流失發生後46分鐘才啟動合約凍結。此後攻擊者在18時26分與18時28分發動兩次追加嘗試，每次試圖再盜取4萬枚rsETH（約1億美元），均以失敗告終。

連鎖反應：Aave的壞帳危機

攻擊者的下一步出乎許多人意料。他們沒有直接拋售，而是將89,567枚rsETH存入借貸協議Aave作為抵押品，在以太坊主網與Arbitrum上借出約1.9億美元的ETH及相關資產。

Aave Labs迅速反應，凍結rsETH市場、將貸款價值比（LTV）調至零、暫停新增借貸。但損失規模的最終答案，取決於Kelp DAO如何處理資金缺口：

若採「社會化損失」方式，由所有rsETH持有者共同承擔缺口，代幣將面臨約15%的脫鉤，Aave壞帳約1.24億美元。若損失集中在Layer 2網路，Arbitrum與Mantle用戶首當其衝，Aave壞帳可能高達2.3億美元。

預測市場Polymarket的數據顯示，市場認為Kelp採取社會化損失的概率僅有14%。歷史上最著名的先例是2016年Bitfinex遭駭（損失6000萬美元）後對所有用戶強制分攤損失，但當時的規模與今日不可同日而語。

廣告

廣告合作

[email protected]

廣告

目前，Arbitrum安全委員會已於4月20日深夜根據執法機構提供的線索，凍結與攻擊者相關的30,766枚ETH（約7100萬美元），資金已移至只能透過Arbitrum治理機制動用的中間錢包。

北韓的「節奏攻擊」：不是巧合，是計劃

不到三週前，與北韓有關聯的駭客組織透過社交工程攻擊了加密貨幣交易公司Drift，捲走大量資金。如今Kelp事件再度指向同一方向。兩起事件合計，短短兩週多時間內超過5億美元被盜。

ENS Labs首席資安長Alexander Urbelis說得直白：「這不是一系列獨立事件，這是一種節奏。你無法靠打補丁來逃脫一個有採購計劃的對手。」

這句話值得細品。Kelp事件的核心不是技術漏洞——系統按照設計正常運行了。攻擊者操控的是輸入系統的數據，讓協議批准了一筆從未真實發生的交易。這是對「去中心化系統如何建立信任」這一根本假設的攻擊。

從地緣政治角度看，北韓透過加密貨幣竊盜為其武器計劃籌資，已是國際社會高度關注的議題。美國、日本、韓國及歐盟均已發出警告，但DeFi的無國界特性使得傳統制裁工具難以有效發揮作用。這是一場監管框架追趕技術演進的競賽，而目前監管明顯落後。

量子運算：下一個尚未爆發的危機

就在DeFi社群忙於應對Kelp事件的同時，Coinbase委託獨立諮詢委員會發布了一份50頁報告，成員包括史丹佛大學密碼學家Dan Boneh、以太坊基金會的Justin Drake及Eigen Labs的Sreeram Kannan。

報告的核心訊息：量子運算不會明天就摧毀加密貨幣，但準備工作必須從現在開始。Google研究人員已發表估算，指出足夠先進的量子電腦未來可能破解比特幣的密碼學基礎。以太坊基金會已提出抗量子數位簽名方案，Solana也在測試抗量子錢包設計。

對華人投資者而言，這一議題有其特殊的地緣政治維度。中國在量子運算領域投入大量國家資源，中科院、阿里巴巴達摩院等機構均有重大進展。若中國率先實現「容錯量子電腦」，其對全球加密基礎設施的潛在影響，遠不止於金融領域。

華人世界的視角：機會與風險並存

DeFi在東南亞華人社群中擁有相當規模的用戶基礎，尤其是新加坡、香港及馬來西亞。這次事件對這些市場的直接影響，取決於當地用戶在受影響協議上的持倉規模。

更深層的問題是監管套利。香港正積極建立加密貨幣監管框架，吸引機構資金進入；新加坡金融管理局（MAS）對DeFi的態度相對審慎。Kelp事件或將加速這些市場對跨鏈橋及流動性再質押協議的審查力度。

對台灣而言，資安威脅的來源向來是高度敏感的政治議題。北韓駭客組織與中國國家支持的APT組織在技術手法上的相似性，使得溯源分析更加複雜。加密貨幣安全已不僅是金融問題，更是國家安全的一部分。