币圈界报道：

KelpDAO跨链漏洞致2.9亿美元资金被盗，连锁反应持续发酵

2026年4月18日，KelpDAO协议遭遇严重安全事件，其跨链rsETH基础设施被利用，造成约2.93亿美元资金损失，成为当年最重大的去中心化金融攻击之一。此次攻击仅影响rsETH资产配置，未波及其他与LayerZero集成的项目。

事件规模与当前状态

资金损失范围确认

LayerZero官方证实，攻击事件涉及约2.9亿美元的资金流失，主要集中在KelpDAO的rsETH池。该漏洞局限于特定链上配置，未影响其他通过LayerZero连接的资产系统。

损失数额存在差异

不同信源报告的损失金额略有出入，初期数据指向2.93亿美元，而正式声明则调整为约2.9亿美元。目前KelpDAO尚未发布完整事件分析报告，责任归属、恢复方案等关键信息仍处于待定状态。

攻击技术路径解析

本次攻击并非针对智能合约逻辑漏洞，而是通过入侵内部RPC节点，并对公共外部节点实施分布式拒绝服务攻击，从而向LayerZero所依赖的单一验证路径注入虚假入站数据。

攻击者伪造一条来自Unichain的入站消息并发送至以太坊，该消息在未执行对应源链销毁操作的前提下，直接触发了以太坊侧适配器释放116,500枚rsETH。这一欺诈性指令耗尽了适配器中的核心储备金。

根据Aave披露的数据，攻击后适配器剩余资产仅为40,373枚rsETH，而远程链上的有效索取权高达152,577枚，二者之间的巨大缺口构成下游损失的核心来源。

Chainalysis初步将此次攻击归因于朝鲜支持的Lazarus组织，但此结论尚无最终定论。执法机构已介入调查，Arbitrum安全委员会冻结部分相关资金，并与调查团队保持同步协作。

Aave面临潜在2.3亿美元坏账压力

Aave治理论坛发布两种基于此次攻击的情景模拟，用于评估坏账影响。在损失平均分摊模型下，预计协议将承担约1.237亿美元的信用损失；若由L2 rsETH持有者单独承担，则总额可能攀升至2.301亿美元。

该事件揭示了跨链借贷体系中高度集中的风险敞口：一个桥接组件的失效，即可在多个无关协议间引发系统性冲击。近期市场亦出现其他领域机构资金撤离迹象，虽成因各异，但均反映对底层基础设施稳定性的深层忧虑。

Lombard Finance启动大规模资产迁移

作为最显著的市场响应，Lombard Finance宣布将其超过10亿美元的比特币质押资产从LayerZero网络迁移至Chainlink的CCIP桥接系统。此举被视为对LayerZero安全架构的明确否定投票。

公司强调，此次迁移优先保障所有用户资产安全，并重申自成立以来始终保持“零安全事故、100%运行时间”的安全承诺。

此次转移不仅改变了比特币DeFi生态中关键桥接资源的分布格局，也加剧了整体市场的下行压力。当前比特币价格报78,093美元，市场恐惧与贪婪指数跌至31，进入“恐惧”区间。

事件背后的系统性风险警示

KelpDAO事件暴露出一个关键架构缺陷：依赖单一链下验证路径的跨链系统，一旦其数据源被攻破，即可能授权大额资金提取，且无需突破任何合约逻辑。

从缺乏足额储备的代币索取权，到Aave的多级坏账预测，再到Lombard数十亿美元的资产撤退，一系列连锁反应清晰表明，单一桥接组件的失败可迅速传导至整个去中心化金融网络。

KelpDAO仍未公布官方事件说明或财务影响评估。在正式报告发布前，用户实际损失范围及后续追偿可能性仍不明朗。