週末發生的一起價值約 2.92 億美元的漏洞攻擊震動了加密貨幣行業,暴露了去中心化金融 (DeFi) 基礎設施的漏洞,並引發了人們對借貸協議可能產生的連鎖反應的擔憂。
雖然調查仍在進行中,但初步分析表明,攻擊的重點是 Kelp 的 rsETH 代幣(以太坊 ( ETH ) 的收益版本)以及用於在區塊鏈之間轉移資產的機制。
攻擊者似乎操縱了該系統,創建了大量沒有適當支持的代幣,然後迅速將其用作抵押品,從借貸市場(主要是最大的去中心化加密貨幣借貸平台Aave )借入和榨取真實資產。
這次事件是對 DeFi 的最新打擊,距離基於 Solana 的協議 Drift 遭受 2.85 億美元攻擊僅幾週時間,進一步削弱了投資者對近 900 億美元加密貨幣行業的信心。
攻擊是如何進行的
硬體錢包製造商 Ledger 的技術長 Charles Guillemet 在一份報告中告訴CoinDesk ,從宏觀層面來看,此次攻擊的目標是 LayerZero 橋接組件——一種使資產能夠在不同區塊鏈之間轉移的基礎設施。
橋接器的工作原理通常是將資產鎖定在一條鏈上,並在另一條鏈上鑄造等值的代幣。這個過程依賴一個可信任實體(通常稱為預言機或驗證器)來確認存款。
在這種情況下,Kelp 實際上扮演了驗證者的角色。據 Guillemet 稱,該系統採用單一簽名機制,這意味著只需一個實體即可批准任何交易。
他說:「攻擊者似乎能夠簽署一條訊息……從而鑄造大量的rsETH。」他還補充說,目前尚不清楚攻擊者是如何獲得這種訪問權限的。
Curve Finance的創辦人 Michael Egorov 也指出了這個系統配置中的同樣缺陷。
“當你只信任一方時,無論那是誰,都可能發生不好的事情。”
這種設定使得攻擊者能夠有效地創建無擔保代幣,即使源鏈上沒有鎖定任何相應的資產。
代幣鑄造完成後,便迅速投入使用。 Guillemet解釋說,攻擊者「立即將它們存入借貸協議(主要是Aave) ,以藉入真正的ETH 」。
這項措施將問題從單一漏洞演變為更廣泛的市場問題。 DeFi借貸平台現在持有可能難以解除的抵押品,而有價值的流動性資產卻已被耗盡。
Curve 的 Egorov 表示:“Aave剩下的 rsETH 無法真正出售,也無法最大程度地借貸$ ETH ,因此沒有人可以提取$ ETH 。”
他警告說,因此, Aave和其他貸款協議可能持有數億美元的可疑抵押品和壞賬,這引發了人們對潛在的「擠兌」的擔憂,因為用戶會爭相提取資金。
事件發生後,用戶紛紛撤回資產,導致Aave協議上的資產縮水約60億美元。與該協議關聯的代幣在過去24小時內下跌了約15%。
我們仍然不知道的事情
關於驗證器如何被攻破,仍存在一些關鍵問題。該系統依賴 LayerZero 的官方節點,因此,該節點究竟是遭到駭客攻擊、配置錯誤還是被誤導,仍有許多不確定性。
「是被駭客入侵了?還是被欺騙了?我們不知道,」葉戈羅夫說。
攻擊者的身分仍未知,但吉列梅特表示,這次攻擊的規模顯示攻擊者手段老練。
「顯然不是一些只會寫腳本的小子,」他說。
對DeFi信任的重大打擊
除了直接損失之外,這次事件也再次提醒我們,隨著 DeFi 的互聯性越來越強,一層中的故障可能會迅速波及整個系統。
埃戈羅夫認為,非孤立貸款模式(資產在資金池中分擔風險)會放大此類事件的影響。
他還指出新資產接取借貸平台的方式有缺陷,並表示像 Kelp 的 1 對 1 驗證器設定這樣的配置應該更早被發現。
然而,埃戈羅夫表示,事情也有好的一面。 「加密貨幣環境非常惡劣,任何銀行都無法在這種環境下生存——但我們現在卻在這樣的環境下運作,」他說。 “我認為DeFi會從這次事件中吸取教訓,變得比以前更加強大。”
不過,即便此類事件導致協議升級和重新設計,它們也會削弱投資者對更廣泛的 DeFi 產業的信心。
「總而言之,這類事件會削弱人們對 DeFi 協議的信任,」Guillemet 說。
「2026年很可能再次成為駭客攻擊最嚴重的一年,」他補充道。
閱讀更多:「DeFi已死」:今年最大駭客攻擊暴露傳染風險後,加密社群一片混亂
