KelpDAO 在4月18日损失了约2.93亿美元的 rsETH。攻击者利用跨链桥的漏洞铸造了无担保代币，并立即将其用作 Aave 上的抵押品。

AAVE 代币在数小时内下跌了高达14%。截至2026年4月中旬，DeFi 今年的损失已经超过4.5亿美元，涉及大约45个协议。

攻击者的初始资金来源可追溯到 Tornado Cash，他发现并利用了 rsETH 铸币逻辑中的一个关键漏洞。该钱包无需提供实际抵押品即可铸造 rsETH 代币——相当于凭空印钞。

被盗的代币随后被存入 Aave V3 和 V4，并被用作抵押品借入大量 WETH。在 Kelp 的紧急“pauseAll”功能被触发时——距离首次成功盗币已过去46分钟——该协议的大部分资金已经损失殆尽。

同一攻击者随后两次试图盗取另外1亿美元，但都被该暂停机制阻止，而首次交易造成的损失已在整个生态系统中蔓延开来。

由于 Aave 持有大量无担保抵押品，该借贷协议的坏账估计高达1.77亿至1.96亿美元——这一数字足以引发对其“伞形安全模块”（Umbrella safety module）的讨论。

该模块持有约5000万美元，预计将用于部分弥补亏损。Aave 上的 WETH 供应商已被告知，他们的存款可能会被减记，这意味着损失将无法完全由协议的资金库承担。

消息公布后的几个小时内， AAVE 代币本身下跌了14%。rsETH 的交易量飙升超过10万%，持有者争相在价格进一步下跌前平仓。

其他借贷平台迅速做出反应。SparkLend、Fluid 和 Upshift 都在数小时内冻结了 rsETH 市场，以防止不良债务进一步累积。与此同时，链上调查员 ZachXBT 发现了与此次盗窃案相关的六个钱包地址，目前正在监控这些地址，以防资金流动。

此次事件再次引发了关于流动性再质押代币（LRT）作为货币市场抵押品时风险状况的讨论。rsETH 与类似的 LRT 资产一样，具有多层复杂性——它代表着对多个验证者集和协议中再质押的 ETH 的索取权，这使得其在压力下的实时估值更难验证。

当这种复杂性与桥接合约中的铸币缺陷相遇时，其结果正是4月18日发生的情况：一个漏洞引发的连锁反应导致多个平台上的坏账。

这次攻击并非孤立发生。截至2026年4月中旬，整个 DeFi 领域的累计损失已达4.5亿至4.82亿美元，涉及约44至45个协议。KelpDAO 事件是迄今为止规模最大的单次事件，但在此之前，DeFi 领域已发生一系列重大安全漏洞，这些漏洞几乎从1月份就开始了。

4月1日，基于 Solana 的永续期货交易所 Drift Protocol 遭遇黑客攻击， 损失高达2.85亿美元。攻击者利用社会工程学手段，诱使安全委员会成员使用 Solana 的持久随机数功能预先签署交易，从而获得管理员权限，并在12分钟内提取了包括 USDC 和 SOL 在内的真实资产。

3月，Resolv Labs 损失8000万美元。一名攻击者存入约20万美元，并利用 completeSwap() 函数中的一个漏洞，铸造了价值8000万美元的无担保 USR 稳定币，导致该代币价格下跌74%。

2月初，Step Finance 因私钥泄露损失2730万至4000万美元，攻击者得以解除质押并提取约261854枚 SOL，随后 Step Finance 宣布关闭核心平台。1月，Truebit 因整数溢出漏洞损失2620万美元，该漏洞允许攻击者操纵 TRU 代币的铸造和销毁。

这些事件共同表明，DeFi 遭受攻击的方式正在发生结构性转变。纯粹利用智能合约代码漏洞不再是主要攻击手段。基础设施层面的攻击——例如私钥窃取、社会工程攻击和前端入侵——在2026年初造成了约76%的损失。

Axios 供应链攻击事件表明，攻击者发布了恶意版本的常用 npm 包，其中隐藏着恶意软件，用于系统侦察，这凸显了这些威胁已经扩散到链外环境的程度。

人工智能辅助的网络钓鱼和所谓的“猪屠宰”骗局也急剧增加，一些估计表明，与2025年同期相比，人工智能驱动的欺诈活动将增加 500%。

具体到 KelpDAO 而言，未来的发展取决于该协议能否为受影响的 rsETH 持有者制定可信的恢复计划，以及 Aave 如何安排其坏账的吸收。这两个问题目前都还没有明确的答案。