KelpDAO被盗2.92亿美元事件引发连锁反应:Aave撤资超54亿美元、借贷市场风险遭重新评估
4 月 19 日,多链流动性质押平台 KelpDAO 今日凌晨遭攻击,攻击者从 KelpDAO 基于 LayerZero 的跨链桥中转出 116,500 枚 rsETH,约合 2.92 亿美元。约 46 分钟后,KelpDAO 作出响应。协议紧急暂停多签,冻结包括 LRT 存款池、提现合约、预言机及 rsETH 代币在内的核心组件。Kelp 表示已发现涉及 rsETH 的异常跨链活动,并已暂停主网及多个 L2 上的相关合约,同时正与 LayerZero等共同进行根因分析。
攻击者随后发起的两次后续攻击均失败,暂停措施有效阻止了进一步资金流失。攻击者试图额外转出 40,000 枚 rsETH(约 1 亿美元),若成功,总损失或将扩大至约 3.91 亿美元。受事件影响,Aave 代币价格下跌约 10%。市场担忧该借贷协议可能因本次攻击产生坏账。Aave 已冻结 V3 与 V4 中的 rsETH 市场,并表示该事件与 rsETH 资产相关,而非协议智能合约本身问题。Aave 表示正在评估事件后产生的借贷情况,并称若协议形成坏账,将「探索路径以弥补缺口」。
KelpDAO 攻击者将盗取的大部分 rsETH 存入 Aave 作为抵押借出 ETH,少部分被直接出售换成 ETH。黑客通过抵押与抛售共获取 106,466 枚 ETH(约 2.5 亿美元)。出于避险目的,超过 54 亿美元资产在黑客通过 Aave 抵押非法铸造的 rsETH 借走大量 ETH 后,从 Aave 紧急撤离。其中包括 Justin Sun 取回 65,584 枚 ETH (1.54 亿美元)。Aave 上 ETH 的资金利用率一度升至 100%。
Curve 创始人 Michael Egorov 发文表示:「本次事件正是当前普遍采用的「非隔离借贷」模式所带来的风险。该模式具备良好的扩展性,但风险更高,因此风险管理至关重要。Aave v4 的 hub and spoke(中心—辐射)模型,或许是迈向半隔离、更安全方向的一步。」
加密 KOL benmo.eth 发文表示,KelpDAO 的 rsETH 被盗事件影响深远,Aave 的安全「金身」被打破,统一型借贷市场的风险正重新进入巨鲸审视范围。Aave V4 与模块化借贷或将成为未来趋势,相关转型进程可能加速。DeFi 将停止扩展路线,转向更保守的安全模式,同时还需进一步应对 Anthropic Mythos 等 AI 驱动安全威胁。
Bankless 联合创始人 Ryan Sean Adams 发文表示,「加密遭黑客攻击的发生频率已达到历史最高水平。我认为这与 AI 有关。AI 正在赋予黑客「黑暗的超能力」。防御必须尽快跟上,我们已经没有时间了。」