DeFi再遭重创：Kelp DAO被盗2.92亿美元，Aave间接受波及

北京时间4月19日，DeFi领域再次发生一起重大安全事件，引发市场广泛关注。

链上数据显示，今晨1:35左右，第二大流动性质押协议Kelp DAO基于LayerZero的rsETH桥接合约疑似遭到黑客攻击，损失116500个rsETH，价值约2.92亿美元。

进一步追踪链上记录发现，攻击者地址在事发前大约10小时从混币协议Tornado Cash收到了1 ETH的初始资金。随后，该地址调用了LayerZero EndpointV2合约上的lzReceive函数，此次调用触发了Kelp的桥接合约，将116500个rsETH转移到了另一个攻击者地址。

事发后约2个半小时，Kelp DAO官方在X平台确认了遭遇攻击：“今天早些时候，我们发现了涉及rsETH的可疑跨链活动。在调查期间，我们已暂停主网和多个Layer2上的rsETH合约。我们的审计人员正在与LayerZero、Unichain的安全专家合作，密切关注此事。后续我们将向你通报最新情况，请关注官方渠道。”

事发之后，各路DeFi项目及安全机构对事件原因进行了分析。D2 Finance的分析在社区内被多次引用——LayerZero Scan将该来源对端标记为Kelp DAO，这意味着该消息来自Kelp自身合法部署的对端合约，且该路径此前已经有308条消息nonce记录。因此，本次攻击的根本原因在于“源链私钥被攻破”。

TinyHumans AI开发者Steven Enamakel补充表示，该合约仅由一个1/1的验证者集合（DVN）来保障，这意味着只要验证者发出一笔错误交易，就足以引发问题。

黑客借路Aave出逃，或致巨额坏账

由于rsETH本身的交易流动性有限，黑客选择的出逃策略为借路Aave等借贷协议，抵押rsETH并借出交易流动性更好的wETH。

PeckShield Alert监测显示，截至今晨4:30，黑客地址已将盗取的rsETH存入Aave V3、Compound V3、Euler等借贷协议，并借出了大量WETH，债务总额超过2.36亿美元——其中仅Aave一家平台的债务便高达1.96亿美元，Compound 3940万美元，Euler仅84万美元。

事发之后，Aave随即冻结了Aave V3和V4上的rsETH市场。该团队随后于X平台发布声明表示：“Aave的合约并未遭到攻击，此次攻击系与rsETH相关。冻结rsETH是为了在评估情况期间阻止新的rsETH存款和抵押借款。我们正在审查攻击发生后Aave上发生的rsETH借款信息，并将尽快分享更多细节。”

初始声明发布后不久，Aave又更新了该动态，在最后加上了一句：“如果该协议因本次事件而累积坏账，我们将探索弥补赤字的途径。”

截至目前，尚不清楚本次事件所造成坏账的具体数额。Aave直接竞争对手Spark的战略主管monetsupply.eth表示，如果rsETH出现19%的折价（被盗数额占rsETH总供应量的19%），Aave可能会产生超过1亿美元的坏账，因为存在高杠杆的循环借贷。

不过，Aave生态代表性治理团队Aave Chan Initiative（ACI）的创始人Marc Zeller（已宣布因治理分歧将于7月退出Aave）却给出了不同的看法。Zeller在事件爆发之初曾建议用户从Aave V3中尽快取出WETH以规避损失，并确认Aave上的USDC和USDT市场不受影响。他在回复另一位用户关于“坏账可能达到上亿规模”的猜测时表示：“远小于该数字。”

但Marc Zeller也提到，现在是时候在真正的生产环境中检验Umbrella了。所谓Umbrella，即Aave的自动安全模块，简单来说这是一个应对坏账的资金池，用户可向其内存入资产以获取较高激励，但当协议出现坏账时，该资金池也需承担潜在的亏损。

Aave协议数据显示，目前Umbrella内共拥有价值约5000万美元的WETH可用于应对本次事件的潜在坏账，但暂时并不确定是否足够填补窟窿。

受此事件影响，AAVE短线大跌近10%，截至发文暂报104.6 USDT。

四月的又一场亿级安全事件

这并非本月发生的第一起巨额安全事件。早在4月1日，Solana生态衍生品交易协议Drift Protocol也曾遭遇攻击，损失高达2.8亿美元。

事后，Drift Protocol直接将被盗的责任归咎于“朝鲜黑客”，但幸运的是，Tether等机构已承诺注资1.475亿美元用于用户赔付，用户至少有了些索赔希望。

仅仅过去了十几天，又一起规模更大的黑客事件爆发，这一次又该如何收场呢？

DeFi还有安全的地方吗？

DeFi的安全问题正愈演愈烈。一边是持续不断的黑客事件，另一边是Mythos等AI带来的持续性安全威胁。对于DeFi用户而言，此前的应对举措是将资金尽量向审计充分、品牌信誉较好的头部协议聚拢，但现如今，就连Aave这种散户潜意识里极难出问题的顶级协议也间接受到了波及，用户还能把资金挪去哪呢？

就个人而言，当下确实不太建议用户将大量资金留在链上，如若确实存在需求，请务必做好仓位的分散与隔离。

截至目前，关于本次事件的较多细节仍未明晰，Odaily将持续跟进事件进展，请保持关注。