由於Kelp DAO漏洞導致總鎖定價值跌至一年來最低點，DeFi損失超過6億美元。

2026 年 4 月 18 日，Kelp DAO 遭到攻擊，攻擊者通過毒害一個 LayerZero 驗證節點鑄造了 116,500 個無擔保的 rsETH。最近幾周，該攻擊引發了整個 DeFi 行業超過 6 億美元的損失，各協議的累計損失接近 10 億美元。

下游效應現在已經在鏈上顯現：根據DefiLlama 的數據，隨著資本外逃加速，DeFi 的總鎖定價值已跌至 12 個月以來的最低點，這主要歸因於重新質押、借貸和跨鏈橋協議的資金外逃。

這個問題的核心問題不在於Kelp DAO是否失敗——它的確失敗了，從架構上看。問題在於，一個配置錯誤的驗證器是否暴露了整個跨鏈DeFi堆棧底層存在的系統性脆弱性。

探索：最適合分散投資組合風險的加密貨幣

單個驗證節點如何導致 DeFi 平臺 6 億美元資金被盜

此次故障是架構層面的，而非基礎層面的，而這一區別對於評估 DeFi 其餘跨鏈基礎設施至關重要。Kelp DAO 的 rsETH 橋依賴於單個去中心化驗證網絡 (DVP) 節點來驗證 LayerZero 消息，這種 1 對 1 的配置此前已被安全公司 Halborn 發出警告。

LayerZero 確認攻擊者是 Lazarus Group 的 TraderTraitor 子組，他們攻破了向該驗證器提供數據的兩個 RPC 節點，對備份節點發起 DDoS 攻擊以強制故障轉移，然後注入一條欺詐性消息，在沒有任何基礎抵押品的情況下鑄造了 116,500 個 rsETH。

被盜的rsETH迅速轉移。鏈上數據顯示，攻擊者利用Aave 、SparkLend和Fluid等平臺的貸款，將其兌換成ETH和Arbitrum ，並使用Tornado Cash進行gas費混淆。攻擊後，惡意軟件從被入侵的RPC中自動刪除，故意抹去了取證日誌。LayerZero的調查如何歸因於此次攻擊，以及RPC投毒序列的詳細機制，均有詳細記錄。

損失迅速累積。新發行的116,500枚rsETH在借貸市場造成了大量不良債務，這些市場接受rsETH作為抵押品，但並未對其來源進行充分驗證，正如Halborn所描述的，這形成了一個偽造信息的“迴音室”。Allium在事件發生後分析驗證漏洞時指出， “工具本身運行正常，但配置方式存在問題。”

這並非無關緊要的腳註：這意味著該漏洞利用不需要零日漏洞，只需要一個事先已被記錄和警告的錯誤配置。

單點故障驗證器架構現在已成為一個已知的攻擊面，Kelp DAO 不會是最後一個運行這種架構的協議。

TVL 降至一年來最低點：資本外逃數據究竟預示著什麼？

在宏觀壓力下，DeFi 的總TVL到 2026 年第一季度已經開始壓縮，但 Kelp DAO 漏洞加速了這種下降趨勢，使其變成了垂直下跌。

DefiLlama 的數據顯示，在 4 月 18 日攻擊發生後的 48 小時內，TVL 損失了 130 億美元，這一速度讓 Compound 等協議措手不及，儘管這些協議沒有直接接觸 rsETH，但仍然受到了傳染性提款的影響。

單一協議的損失更為慘重。Aave的總鎖定價值 (TVL) 在凍結 rsETH 市場後從 264 億美元暴跌至約 180 億美元，損失高達 84.5 億美元，原因是用戶在抵押品受損導致潛在壞賬發生之前降低風險。

Aave 的風險團隊目前正在根據市場凍結前用作貸款抵押品的無擔保 rsETH 的回收率，對兩種壞賬情景進行建模。

TVL壓縮造成了兩種截然不同的未來情景。如果資金流出趨於穩定，且Kelp發佈一份可信的財務報告並提出補償機制，那麼目前的TVL水平可能只是局部蔓延，雖然影響不大，但尚可控制。如果Aave的壞賬模型揭示了實質性損失，且LayerZero的多DVN升級時間表延後至第二季度之後，預計TVL將出現第二波下降，因為尋求收益的投資者將完全從重質押協議轉向關聯性較低的替代方案。

治理代幣的估值已經將第一種情況視為樂觀， Aave自漏洞利用以來已下跌超過 20%，而復甦的理論完全取決於Aave能否乾淨利落地關閉其 rsETH 敞口。

探索：最佳預售代幣銷售