DeFi史上最大连环劫案，2.93亿美元蒸发，Aave等平台紧急“熔断”

奔跑财经4月20日消息，一场席卷整个DeFi世界的“海啸”正在发生。本周六，知名流动性质押平台Kelp遭遇重大网络安全攻击，其发行的rsETH代币成为突破口，初步估计损失高达2.93亿美元（约合人民币21亿元）。

更可怕的是，风险如病毒般扩散，引发“跨协议传染”，迫使包括借贷巨头Aave在内的至少九家主流平台紧急暂停或限制相关交易，以防成为下一块倒下的多米诺骨牌。

事件详情

事件发生于周六，Kelp团队监测到其rsETH代币的跨链活动出现异常，随即紧急暂停了主网及多个Layer-2网络上的智能合约。然而，为时已晚。黑客精准打击了负责跨链转账的 “rsETH适配器桥接合约” 。通过控制该合约，攻击者在极短时间内造成了巨额资金外流。

区块链安全公司Cyvers第一时间评估，损失约为2.93亿美元。这使其成为2026年迄今为止金额最大的单一DeFi安全事件之一。

据追踪，攻击者使用的初始地址资金通过隐私工具Tornado Cash注入，以掩盖踪迹。令人震惊的是，已有约2.5亿美元的赃款被迅速兑换成了以太坊（ETH），加大了追回难度。目前尚无任何资金被成功追回的消息。

事件影响

此次攻击的破坏力远不止于Kelp自身。由于rsETH被广泛集成于多个DeFi协议中，风险迅速蔓延。Cyvers首席执行官Deddy Lavid将此次事件定性为 “跨协议传染” ，直指DeFi生态“可组合性”的致命风险。相互连接的协议在带来效率的同时，也让风险得以光速传播。

为自保，至少九家加密货币平台迅速采取行动，暂停或限制了涉及rsETH的活动。其中，最具代表性的是借贷龙头Aave，它已冻结了其V3和V4平台上的所有rsETH市场，以阻止损失扩大并控制风险。

行业警报

Kelp的悲剧并非孤例，它只是2026年加密货币安全危机的一个缩影。数据显示，仅在2026年第一季度，因黑客攻击和诈骗造成的损失已累计约4.82亿美元。Kelp一案就占了其中超过60%。

就在不久前，Drift Protocol也遭遇了类似攻击，损失约2.8亿美元。调查发现，攻击者竟花费了数月时间渗透系统，最终部署恶意软件得手。

接连不断的巨额安全事件，持续侵蚀着用户对DeFi平台的信心，也让“去中心化”背后的安全命题变得空前严峻。这场由Kelp点燃的“DeFi风暴”仍在肆虐。所有参与者都该警醒：在追逐高收益的加密深海中，安全，才是那艘最不能破的船。