FFeel.Trading
要聞列表2.92 億美元的 Kelp 漏洞攻擊事件:發生經過及其對 DeFi 的意義
CoinDesk2026-04-19 21:27:17

2.92 億美元的 Kelp 漏洞攻擊事件:發生經過及其對 DeFi 的意義

ORIGINALThe $292 million Kelp exploit: how it happened, and what it means for DeFi
AI 影響分析Grok 分析中...
📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯5624 字
2.92 億美元的 Kelp 漏洞攻擊:事件經過,以及對 DeFi 的意義 Ledger 的 CTO 表示,2026 年正逐漸成為 DeFi「駭客攻擊最慘烈的一年」,Kelp 的漏洞事件顯示出單一故障點如何能在各個系統之間連鎖擴散。 重點摘要: - KelpDAO 遭遇的 2.92 億美元重大漏洞攻擊正在 DeFi 領域擴散。 - 此事件提醒我們,隨著 DeFi 協議彼此愈來愈相互連結,單一薄弱環節即可在整個技術堆疊間引發連鎖反應。 - Ledger 的 Guillemet 表示,對 DeFi 的信任已「被侵蝕」,2026 年「極有可能成為駭客攻擊最慘烈的一年」。 週末發生的約 2.92 億美元漏洞攻擊震撼了加密貨幣產業,暴露出去中心化金融(DeFi)基礎設施的漏洞,並引發外界對借貸協議連鎖效應的擔憂。 雖然調查仍在進行中,初步分析顯示此次攻擊核心圍繞在 Kelp 的 rsETH 代幣——一種具收益性質的 ether(ETH)版本——以及用於在區塊鏈之間移轉資產的機制。 攻擊者似乎操弄了該系統,在沒有適當資產背書的情況下產生大量代幣,隨後迅速將這些代幣作為抵押品,從借貸市場(主要是 Aave)借出並抽乾真實資產。 此事件是 DeFi 遭受的最新一擊,距離 Solana 鏈上協議 Drift 遭受 2.85 億美元漏洞攻擊僅過了幾週,進一步打擊了投資人對這個規模近 900 億美元加密產業的信任。 攻擊如何進行 從整體來看,此次漏洞攻擊鎖定的是 LayerZero 橋接組件——一項讓資產能跨不同區塊鏈移轉的基礎設施,硬體錢包製造商 Ledger 的 CTO Charles Guillemet 在給 CoinDesk 的訊息中表示。 跨鏈橋通常透過在一條鏈上鎖定資產、並在另一條鏈上鑄造等值代幣的方式運作。這個流程仰賴一個可信任的實體——通常稱為 oracle 或驗證者——來確認存入動作。 在本案中,Kelp 實際上扮演了該驗證者的角色。根據 Guillemet 的說法,該系統採用單一簽署者(single-signer)架構,意即僅一個實體即可批准任何交易。 他表示:「攻擊者似乎能夠簽署一則訊息……讓他鑄造大量 rsETH。」他並補充指出,該存取權限究竟是如何取得的目前仍不清楚。 Curve Finance 創辦人 Michael Egorov 也指出該系統設定中的同一弱點。 「當你信任單一一方時,事情就可能發生——不論那一方是誰。」 這種架構讓攻擊者得以實質產生無資產背書的代幣,儘管來源鏈上並沒有對應資產被鎖定。 代幣一旦鑄造,便迅速被投入運用。Guillemet 解釋:「他立即將代幣存入借貸協議——主要是 Aave——以借出真實的 ETH。」 這一操作把單一漏洞事件轉化為更廣泛的市場問題。DeFi 借貸平台如今手中握著可能難以脫手的抵押品,而高價值且具流動性的資產則早已被抽乾。 Curve 的 Egorov 表示:「Aave 手上剩下的是無法真正賣出的 rsETH 以及借滿額(maxborrowed [sic])的 ETH,因此沒有人能夠提領 ETH。」 他警告,結果就是 Aave 與其他借貸協議可能正坐擁數億美元有疑慮的抵押品與壞帳,並引發外界對「擠兌」動態的擔憂,使用者紛紛搶著提領資金。 事件發生後使用者抽走資產,Aave 協議上的資產規模因此下滑約 60 億美元。該協議相關代幣在過去 24 小時的交易中下跌約 15%。 仍待釐清的問題 驗證者是如何被攻破的,仍是關鍵未解之謎。該系統依賴 LayerZero 的官方節點,究竟它是被駭、設定錯誤,還是被誤導,目前並不確定。 Egorov 表示:「它是被駭了嗎?是被騙了嗎?我們不知道。」 攻擊者的身分同樣不明,不過 Guillemet 認為此次攻擊規模顯示對方是具備高度技術能力的行為者。 他說:「絕對不是什麼 script kiddies(腳本小子)。」 對 DeFi 信任的重大打擊 除了立即的損失之外,此事件再次提醒我們,隨著 DeFi 愈加相互連結,某一層的故障便能迅速在整個系統間連鎖擴散。 Egorov 主張,非隔離型(non-isolated)借貸模式——亦即資產在資金池之間共擔風險——會放大此類事件的衝擊。 他也指出新資產上架借貸平台時所存在的不足之處,認為像 Kelp 那樣 1-of-1 驗證者的設定,理應在更早階段就被標示警示。 不過 Egorov 表示其中仍有一線曙光。「加密世界是個嚴酷的環境,沒有任何銀行能在其中存活——然而我們仍在其中運作,」他說,「我認為 DeFi 將從此事件中學習,並變得比以前更為強韌。」 儘管如此,即使這類事件促成協議升級與重新設計,它們同時也持續侵蝕投資人對整個 DeFi 領域的信心。 Guillemet 表示:「總的來說,這類事件正在侵蝕外界對 DeFi 協議的信任。」 他並補充:「而 2026 年極有可能再次成為駭客攻擊最慘烈的一年。」 延伸閱讀:「DeFi 已死」:今年最大駭客事件揭露擴散風險,加密社群急尋對策 更多推薦 Paxos Labs 的 Chunda McCain 表示,使用穩定幣的企業可以透過降低成本、解鎖信貸與賺取收益來重塑利潤結構,但並非每家公司都需要發行代幣。 重點摘要: - Paxos Labs 共同創辦人 Chunda McCain 在受訪時表示,穩定幣正進入新階段,企業將不再聚焦於基礎建設,而是更專注於具體的業務應用,例如收益與信貸。 - 企業可透過使用穩定幣享受更低的支付成本與新的收入來源,但並非每家公司都需要……
資料狀態✓ 已擷取全文閱讀原文(CoinDesk)
🔍歷史類似事件· 關鍵字 + 標的比對6 則
2026-04-27
由 Aave 領軍的「DeFi United」救援行動籌集了 3 億美元,以彌補 Kelp DAO 漏洞攻擊造成的損失
相似度 230%關鍵字 exploit/kelp/defi
2026-04-20
在 Kelp DAO 橋接漏洞引發 DeFi 混亂後,Aave 可能面臨高達 2.3 億美元的損失
相似度 230%關鍵字 exploit/kelp/defi
2026-04-30
Wasabi Protocol 500 萬美元遭駭事件加速了 AI 驅動的 DeFi 駭客理論
相似度 180%關鍵字 exploit/defi/million
2026-04-28
Aave 相關 DeFi 協議 United 在 Kelp 發生 2.93 億美元遭駭事件後,公布 rsETH 恢復計畫
相似度 180%關鍵字 exploit/defi/kelp
2026-04-26
Aave 已籌集近 80% 的資金,以填補 Kelp DAO 漏洞所造成的 2 億美元壞帳。
相似度 180%關鍵字 exploit/kelp/million
2026-04-24
在 $292 Million 的 KelpDAO 漏洞攻擊事件後,Aave 領軍成立 DeFi United Coalition
相似度 180%關鍵字 exploit/defi/million
💡 目前用關鍵字 + 標的比對(MVP)· 之後會升級為 embedding 語意搜尋
原始資訊
ID:ba5bd53e18
來源:CoinDesk
發佈:2026-04-19 21:27:17
分類:一般 · 導出分類 neutral
標的:未指定
社群投票:+0 /0 · ⭐ 0 重要 · 💬 0 留言