DeFi损失超600M,Kelp DAO漏洞引发一年低点的TVL

2026年4月18日,Kelp DAO遭遇攻击,攻击者通过毒化单个LayerZero验证节点铸造了116,500个无担保的rsETH。这一事件引发了超过6亿美元的DeFi损失,整个行业的累计损失接近10亿美元。
这一事件的下游影响已经在链上显现:根据DefiLlama的数据,DeFi的总锁仓价值降至过去12个月的最低点,资金流出在再质押、借贷和跨链桥协议中加速。
关键问题并非Kelp DAO的失败,尽管其架构确实存在问题,而是一个错误配置的验证器是否暴露了整个跨链DeFi堆栈下的系统性脆弱性。
总DeFi损失:最近几周约为10亿美元,其中600M以上直接与Kelp DAO漏洞及其传染效应相关。
Kelp DAO漏洞规模:铸造116,500个无担保的rsETH,约占流通供应的18%,通过被攻陷的LayerZero DVN节点实现;未发生智能合约漏洞。
TVL影响:在漏洞发生后48小时内,DeFi的总锁仓价值下降了130亿美元,降至一年低点。
受影响的协议:Aave、SparkLend和Fluid均冻结了rsETH市场;Aave的TVL从264亿美元降至约180亿美元,成为最大的单一协议损失。
归因:LayerZero将此次攻击归咎于朝鲜的Lazarus Group,特别是其TraderTraitor子单位;尚未正式确认。
关注要点:Kelp DAO即将发布的法医报告和Aave对受损rsETH抵押品的坏账解决方案将是判断传染是否稳定或加深的关键信号。
单一验证器节点如何导致600M的DeFi损失
此次失败是架构性的问题,而非基础性问题,这一差别对评估DeFi跨链基础设施至关重要。Kelp DAO的rsETH桥依赖于单个去中心化验证网络节点来验证LayerZero消息,这种1对1的配置早已被安全公司Halborn警告。
攻击者被LayerZero识别为Lazarus Group的TraderTraitor子组,他们攻陷了两个向该验证器提供数据的RPC节点,发起了针对备份节点的DDoS攻击以迫使故障转移,随后注入了伪造消息,铸造了116,500个rsETH,而没有任何基础抵押品。
被盗的rsETH迅速转移。链上数据显示,攻击者通过在Aave、SparkLend和Fluid之间借贷,将其兑换为ETH和Arbitrum,并利用Tornado Cash隐匿交易费用。攻击后,恶意软件从被攻陷的RPC中自我删除,故意抹去了取证日志。关于LayerZero如何归因于此次攻击的调查,RPC毒化序列的机制已详细记录。
今天早些时候,我们发现rsETH的可疑跨链活动。我们已暂停主网和多个L2上的rsETH合约,正在进行调查。
我们正在与@LayerZero_Core、@unichain、我们的审计师和顶级安全专家合作进行根本原因分析。
我们会保持更新
— Kelp (@KelpDAO) 2026年4月18日损失迅速累积。116,500个铸造的rsETH在接受rsETH作为抵押品的借贷市场中产生了坏账,这是一种对伪造消息的“回声室”,正如Halborn所描述的那样。Allium在事件后分析验证差距时指出,“工具按设计工作,但配置方式不当。”
这并不是小事:这意味着此次漏洞并不需要零日漏洞,仅仅是一个事先已被记录和警告的错误配置。
单点故障的验证器架构现在已成为一个文档化的攻击面,Kelp DAO不会是最后一个运行这种架构的协议。
TVL降至一年低点:资金流出数据实际传达了什么
在宏观压力下,DeFi的总锁仓价值在2026年第一季度已经开始压缩,但Kelp DAO的漏洞加速了这一下降,形成了垂直下滑。
DefiLlama数据显示,在4月18日攻击后48小时内,TVL流出达130亿美元,这一速度令像Compound这样的协议措手不及,尽管它们与rsETH没有直接接触,但仍遭遇了传染性撤资。
单一协议的损失数字更加严峻。Aave的TVL从264亿美元暴跌至约180亿美元,冻结rsETH市场后,用户因潜在坏账的风险而选择降低风险,导致850亿美元的资金流出。
资金以空前的规模流出DeFi pic.twitter.com/bZ3m40wfs4
— wale.moca ? (@waleswoosh) 2026年4月20日Aave的风险团队现在正在根据未担保的rsETH的回收率模型化两种坏账情景,这些rsETH在市场冻结前曾作为贷款抵押品。
TVL的压缩为未来设定了两种不同的情景。如果资金流出稳定,Kelp发布可信的法医报告并提供补偿机制,那么当前水平可能被视为局部传染,虽然难看但有限。如果Aave的坏账模型显示出重大损失,且LayerZero的多DVN升级时间表延续至第二季度,预计TVL将再次下降,收益寻求者将完全转向互联性较低的替代方案。
治理代币的估值已经将第一种情景定价为乐观,自漏洞以来,AAVE已经下跌超过20%,恢复的前景完全依赖于Aave能否顺利解决其rsETH的风险。

















