去中心化金融（DeFi）基礎設施於週末發生史上最大規模的跨鏈漏洞攻擊之一，駭客透過操縱 Kelp DAO 的 rsETH 代幣，自大型借貸協議 Aave 抽乾價值約 2.92 億美元的資產。此事件引發市場恐慌，導致 Aave 在短短兩天內流失超過 60 億美元的資金，再次暴露出 DeFi 生態系統脆弱的連鎖反應。

Kelp 遭駭，憑空鑄造 11.65 萬顆 rsETH

本次攻擊的核心不在於借貸平台本身，而是在於跨鏈橋（Bridge）的驗證漏洞。攻擊者鎖定了 Kelp DAO 與 LayerZero 合作的跨鏈基礎設施。該系統採用了「單一簽名（Single-signer）」的弱配置，意味著只要獲得一個實體的授權，就能在目標鏈上鑄造代幣。

駭客成功繞過實際資產抵押，欺騙系統簽發訊息，憑空鑄造了 11.65 萬顆 rsETH（價值約 2.92 億美元）。隨後，駭客將這些毫無資產支撐的「假代幣」存入 Aave V3 作為抵押品。由於 Aave 先前已將 rsETH 列入白名單，駭客成功借出了大量流動性極高的 WETH（包裝以太幣） 並迅速轉移。

Aave 成為受災最重的「受害者」

雖然 Aave 創辦人 Stani Kulechov 強調 Aave 自身的智能合約並未受損，但其風險管理機制顯然未能防範「抵押品瞬間歸零」的極端情境。

駭客在 Aave、Compound 與 Euler 等協議共借出約 2.36 億美元，其中 1.96 億美元 集中在 Aave。由於 rsETH 的後台支撐已蕩然無存，Aave 手中剩下的抵押品已變成了無法變現的廢紙。

根據 DefiLlama 數據，Aave 的總鎖倉價值（TVL）從 4 月 18 日的 264 億美元，暴跌至週日的 200 億美元以下。用戶由於擔心發生「擠兌」，紛紛提領資產。

而 AAVE 代幣價格也在單日下跌約 16%，跌至 92 美元附近，反映出市場對其預備金（Umbrella Reserve）是否足以填補資金缺口的質疑。

DeFi 仍停留在「單點故障」

Ledger 技術長 Charles Guillemet 與 Curve Finance 創始人 Michael Egorov 均指出，這起事件重重地賞了 DeFi 產業一個耳光。

Kelp 的驗證系統依賴單一節點，這種「中心化」的配置在去中心化世界中極其危險。Egorov 直言：「當你信任單一一方時，問題遲早會發生。」

此外，這一事件也突顯出了 DeFi 協議之間的高度互連（如樂高積木），Kelp 的漏洞透過 Aave 的放貸機制，迅速擴大成全行業的流動性危機。Charles Guillemet 悲觀預測，2026 年恐將成為 DeFi 史上遭駭損失最慘重的一年。

總結與展望

繼兩週前 Solana 鏈上的 Drift 協議遭駭 2.85 億美元後，本次 Kelp/Aave 事件再次重創投資者信心。儘管 DeFi 支持者認為這種「壓力測試」會讓系統最終變得更強韌，但眼前超過 66 億美元的資金逃離潮，顯示用戶對於將資產存放在「看似安全」的大型協議中已產生巨大的動搖。

Aave 目前正討論是否動用安全模組（stkAAVE）來彌補缺口，這意味著參與質押的用戶可能必須共同承擔這筆龐大的損失。