😱💢💥DeFi 损失了 $292 百万不到一小时!
设置中的一个错误打开了大门。一个被忽视的桥,没有足够的监控,只需这样一点点疏忽。那年最大规模的DeFi漏洞不是来自聪明才智,而是疏忽。
2026年4月18日。时间:UTC 17:35。有人从Kelp DAO的LayerZero桥带走了116,500个rsETH。那次盗窃?接近$292 百万。46分钟后,Kelp暂停了其合约。在这段时间里,约值$250 百万的被盗代币被转手,用之前通过Tornado Cash悄悄加载的钱包转换成ETH。每一步都事先安排妥当。没有任何侥幸。损失已成定局。
这次漏洞是2026年迄今最大的DeFi黑客事件——没有其他事件能比得上。
被攻破的内容和使用的方法
围绕Kelp DAO的活动如海浪般涌动,它像一台机器,让人们存入ETH或某些质押资产。这些存款不静止,而是流入EigenLayer,随着时间积累额外收益。出来的是rsETH,一种可以自由兑换或转移的代币。麻烦来了:连接链之间的链间桥,持有包裹rsETH的储备,受损了。这个连接支持着超过二十个网络的操作。Arbitrum领跑,然后是Base、Linea,甚至一些较少人知的如Blast和Scroll,全部连接在网络中。
一个虚假信号穿过LayerZero的防御,骗过系统接受了被篡改的数据。正因为如此,Kelp的连接反应得像是得到了可信源的授权。一次转账开始了,但背后没有真正的授权。116,500个rsETH被转出,提前被转移,没人能阻止。目的地?一个已被攻击者控制的地址。
只是一条假消息引发了这一切。漏洞发生,是因为一座桥相信了它。之后一切崩溃。
只有一个签名者管理批准,所以只有一个人有权限操作交易。正因为如此,黑客通过签署转账,成功制造出大量rsETH,而原始网络上没有任何支撑。Curve Finance的创始人Michael Egorov直言不讳:“风险会出现,如果一切都依赖于一个人。”
传染迅速蔓延
事情变得更糟的时候到了。盗贼不仅拿走了资金,还用它制造更多危害。
一波借来的wETH在Aave V3中涌动,黑客将被盗的rsETH注入协议。一次漏洞引发的连锁反应,突然间,去中心化金融的许多部分都陷入了动荡。
4月18日Aave的锁定资金从264亿美元跌至接近$20 十亿,周日早晨在美国时间,损失了66亿美元,AAVE代币下跌16%。由于动荡,SparkLend、Fluid和Lido都立即暂停了rsETH市场的交易。RaveDAO的RAVE币暴跌90%,从27.33美元跌到仅1.15美元,在一次交易中市值蒸发超过$5 十亿。虽然预期稳定,但一旦数字开始下滑,平台上的混乱迅速展开。
后来还发生了别的事——两次试图提取40,000个rsETH(约$100 百万)都被阻止,直到Kelp按下紧急刹车。可即便如此,$292 百万已经消失得无影无踪。
这不是偶然,而是重复的序列
事实是,2026年对DeFi安全来说还不够友好
4月1日,Solana上的Drift Protocol遭遇一次漏洞,损失了接近$285 百万。事件追溯到与朝鲜有关的黑客。资金在漏洞中迅速消失。
一连串的黑客攻击波及多个平台,CoW Swap首先受到影响,然后Zerion在压力下崩溃。Rhea Finance紧随其后,其防御意外崩溃。Silo Finance后来也被攻破,加入了逐周展开的漏洞链。
仅2026年第一季度,诈骗和黑客就夺走了约$482 百万的数字货币。在这些事件中,虽然漏洞造成了巨大损失,但欺诈手段也在这些月中频繁出现。
一个周末,Kelp又增加了额外的$292 百万。
Ledger的首席安全官直言:“总的来说,这类事件侵蚀了对DeFi协议的信任。而且2026年很可能成为黑客最多的一年。”
DeFi构建块的残酷现实
事实是,没有人愿意承认:让DeFi灵活的东西,也在压力下崩溃。组合性通过连接建立力量,但这些连接在压力下变成了薄弱环节。
一度,rsETH作为Aave、SparkLend、Fluid、Compound和Euler的可信支撑,自由连接,构成了DeFi存在的根基。这些系统允许彼此自由操作。这是设计使然。然而,漏洞发生后,伪造的持有量主要涌入Aave,迅速被用来通过贷款提取真正的ETH,将孤立的盗窃变成了广泛的压力。
当某一部分崩溃,依赖它作为安全保障的系统也会受到影响。这不是偶然的错误,而是整个体系的运作方式。
当桥的储备耗尽,持有代币在以太坊之外的人开始怀疑这些代币是否仍有支撑。这种担忧引发了对Layer 2链的仓促退出,尽管以太坊的供应没有直接受到影响。突然,Kelp可能不得不拆分再质押的资产,只为满足提款请求。
一个失败会带动另一个失败。总是如此。
需要改变的地方
需要的东西并不隐藏,但进展总落后于需求
桥必须要求多重签名,而不是仅仅一个。单一的密钥被破坏无法解锁,只要需要多重批准。一个薄弱环节可能失败,但整个系统仍然保持关闭状态。
在抵押品接入方面,更严格的规则正在实施。借贷设置现在面临压力,首先要检查桥的设计,永远不要第二位。再质押的代币没有经过严格审查就不能通过。流程变了:在接受之前要严格审查,而不是事后补救。结构确认早,协议的犹豫也会减少。安全依赖于时机,顺序错误可能带来比延误更大的风险。
这个延误很重要。Kelp等到UTC 20:10才发出消息,尽管漏洞早已开始。整整三个小时后,他们才发布了第一条消息。这样的沉默在系统已经开始崩溃时是行不通的。
当桥出现异常,系统会立即通过跨协议断路器停止,而不是等待数小时的人为干预。警报会立即触发,相关网络会自动关闭,而不是等待修复。快速停止在问题扩散到控制点之前发生。机器比人反应更快,一旦通信出现异常,冻结会自动启动。
Michael Egorov在这次损失中看到了一线希望:“加密货币是一个严酷的环境,没有任何银行能幸免,但我们还在与之共存。DeFi会从这次事件中吸取教训,变得比以前更强。”
也许如此,但每次教训的代价都是$292 百万,价格在快速攀升。
一个缺陷打开了大门,一个虚假信息穿过了防线。46分钟后,数百万已不复存在。这次漏洞比Drift的损失还要狭窄地略微少一些。如今,它成为2026年最大的DeFi崩溃。系统之间的连接由细裂变成了全面崩溃。
在保障措施的前面一步,桥变得越来越复杂。当验证者缺乏多样性时,薄弱环节就会留下。抵押规则也没有跟上节奏。只要这些漏洞存在,类似的故事就会再次出现。这不是“如果”,而是“何时”。
DeFi的生存不是在测试什么,而是在考验它在另一场$292 百万错误出现之前,能多快地变革。
✅️关注获取更多✅️
$BTC $SOL #GatePreIPOsLaunchesWithSpaceX $XRP
设置中的一个错误打开了大门。一个被忽视的桥,没有足够的监控,只需这样一点点疏忽。那年最大规模的DeFi漏洞不是来自聪明才智,而是疏忽。
2026年4月18日。时间:UTC 17:35。有人从Kelp DAO的LayerZero桥带走了116,500个rsETH。那次盗窃?接近$292 百万。46分钟后,Kelp暂停了其合约。在这段时间里,约值$250 百万的被盗代币被转手,用之前通过Tornado Cash悄悄加载的钱包转换成ETH。每一步都事先安排妥当。没有任何侥幸。损失已成定局。
这次漏洞是2026年迄今最大的DeFi黑客事件——没有其他事件能比得上。
被攻破的内容和使用的方法
围绕Kelp DAO的活动如海浪般涌动,它像一台机器,让人们存入ETH或某些质押资产。这些存款不静止,而是流入EigenLayer,随着时间积累额外收益。出来的是rsETH,一种可以自由兑换或转移的代币。麻烦来了:连接链之间的链间桥,持有包裹rsETH的储备,受损了。这个连接支持着超过二十个网络的操作。Arbitrum领跑,然后是Base、Linea,甚至一些较少人知的如Blast和Scroll,全部连接在网络中。
一个虚假信号穿过LayerZero的防御,骗过系统接受了被篡改的数据。正因为如此,Kelp的连接反应得像是得到了可信源的授权。一次转账开始了,但背后没有真正的授权。116,500个rsETH被转出,提前被转移,没人能阻止。目的地?一个已被攻击者控制的地址。
只是一条假消息引发了这一切。漏洞发生,是因为一座桥相信了它。之后一切崩溃。
只有一个签名者管理批准,所以只有一个人有权限操作交易。正因为如此,黑客通过签署转账,成功制造出大量rsETH,而原始网络上没有任何支撑。Curve Finance的创始人Michael Egorov直言不讳:“风险会出现,如果一切都依赖于一个人。”
传染迅速蔓延
事情变得更糟的时候到了。盗贼不仅拿走了资金,还用它制造更多危害。
一波借来的wETH在Aave V3中涌动,黑客将被盗的rsETH注入协议。一次漏洞引发的连锁反应,突然间,去中心化金融的许多部分都陷入了动荡。
4月18日Aave的锁定资金从264亿美元跌至接近$20 十亿,周日早晨在美国时间,损失了66亿美元,AAVE代币下跌16%。由于动荡,SparkLend、Fluid和Lido都立即暂停了rsETH市场的交易。RaveDAO的RAVE币暴跌90%,从27.33美元跌到仅1.15美元,在一次交易中市值蒸发超过$5 十亿。虽然预期稳定,但一旦数字开始下滑,平台上的混乱迅速展开。
后来还发生了别的事——两次试图提取40,000个rsETH(约$100 百万)都被阻止,直到Kelp按下紧急刹车。可即便如此,$292 百万已经消失得无影无踪。
这不是偶然,而是重复的序列
事实是,2026年对DeFi安全来说还不够友好
4月1日,Solana上的Drift Protocol遭遇一次漏洞,损失了接近$285 百万。事件追溯到与朝鲜有关的黑客。资金在漏洞中迅速消失。
一连串的黑客攻击波及多个平台,CoW Swap首先受到影响,然后Zerion在压力下崩溃。Rhea Finance紧随其后,其防御意外崩溃。Silo Finance后来也被攻破,加入了逐周展开的漏洞链。
仅2026年第一季度,诈骗和黑客就夺走了约$482 百万的数字货币。在这些事件中,虽然漏洞造成了巨大损失,但欺诈手段也在这些月中频繁出现。
一个周末,Kelp又增加了额外的$292 百万。
Ledger的首席安全官直言:“总的来说,这类事件侵蚀了对DeFi协议的信任。而且2026年很可能成为黑客最多的一年。”
DeFi构建块的残酷现实
事实是,没有人愿意承认:让DeFi灵活的东西,也在压力下崩溃。组合性通过连接建立力量,但这些连接在压力下变成了薄弱环节。
一度,rsETH作为Aave、SparkLend、Fluid、Compound和Euler的可信支撑,自由连接,构成了DeFi存在的根基。这些系统允许彼此自由操作。这是设计使然。然而,漏洞发生后,伪造的持有量主要涌入Aave,迅速被用来通过贷款提取真正的ETH,将孤立的盗窃变成了广泛的压力。
当某一部分崩溃,依赖它作为安全保障的系统也会受到影响。这不是偶然的错误,而是整个体系的运作方式。
当桥的储备耗尽,持有代币在以太坊之外的人开始怀疑这些代币是否仍有支撑。这种担忧引发了对Layer 2链的仓促退出,尽管以太坊的供应没有直接受到影响。突然,Kelp可能不得不拆分再质押的资产,只为满足提款请求。
一个失败会带动另一个失败。总是如此。
需要改变的地方
需要的东西并不隐藏,但进展总落后于需求
桥必须要求多重签名,而不是仅仅一个。单一的密钥被破坏无法解锁,只要需要多重批准。一个薄弱环节可能失败,但整个系统仍然保持关闭状态。
在抵押品接入方面,更严格的规则正在实施。借贷设置现在面临压力,首先要检查桥的设计,永远不要第二位。再质押的代币没有经过严格审查就不能通过。流程变了:在接受之前要严格审查,而不是事后补救。结构确认早,协议的犹豫也会减少。安全依赖于时机,顺序错误可能带来比延误更大的风险。
这个延误很重要。Kelp等到UTC 20:10才发出消息,尽管漏洞早已开始。整整三个小时后,他们才发布了第一条消息。这样的沉默在系统已经开始崩溃时是行不通的。
当桥出现异常,系统会立即通过跨协议断路器停止,而不是等待数小时的人为干预。警报会立即触发,相关网络会自动关闭,而不是等待修复。快速停止在问题扩散到控制点之前发生。机器比人反应更快,一旦通信出现异常,冻结会自动启动。
Michael Egorov在这次损失中看到了一线希望:“加密货币是一个严酷的环境,没有任何银行能幸免,但我们还在与之共存。DeFi会从这次事件中吸取教训,变得比以前更强。”
也许如此,但每次教训的代价都是$292 百万,价格在快速攀升。
一个缺陷打开了大门,一个虚假信息穿过了防线。46分钟后,数百万已不复存在。这次漏洞比Drift的损失还要狭窄地略微少一些。如今,它成为2026年最大的DeFi崩溃。系统之间的连接由细裂变成了全面崩溃。
在保障措施的前面一步,桥变得越来越复杂。当验证者缺乏多样性时,薄弱环节就会留下。抵押规则也没有跟上节奏。只要这些漏洞存在,类似的故事就会再次出现。这不是“如果”,而是“何时”。
DeFi的生存不是在测试什么,而是在考验它在另一场$292 百万错误出现之前,能多快地变革。
✅️关注获取更多✅️
$BTC $SOL #GatePreIPOsLaunchesWithSpaceX $XRP
