DeFi 放貸出事了:Aave 近 2 億美元壞帳,去中心化也會資不抵債嗎?
2026 年 4 月 18 日,加密貨幣圈發生了一件值得每一位放貸投資人認真看待的事件:流動性再質押代幣項目 Kelp DAO 的跨鏈橋遭到駭客攻擊,116,500 枚毫無資產支撐的假代幣流入 DeFi 借貸龍頭 Aave,換走了真實的以太幣(WETH)。 事件發生後,Aave 面臨約 1.77 億至 2.36 億美元的壞帳威脅,總鎖倉量(TVL)在數小時內暴跌超過 60 億美元,AAVE 代幣單日跌幅超過 18%,超過 9 個 DeFi 協議緊急凍結相關市場。 「去中心化就不會倒」——這個說法在這次事件面前需要被重新檢視。 本文不是要唱衰 DeFi,而是拆解這次事件背後的真實風險機制,讓你在選擇放貸工具時,能夠基於事實做出更清醒的判斷,而不只是被高利率數字吸引。 事件經過:46 分鐘完成的 2.9 億美元攻擊 這次攻擊的速度之快、手法之精準,讓整個 DeFi 圈措手不及。從第一筆惡意交易到攻擊完成,全程只花了 46 分鐘。 攻擊如何發生 Kelp DAO 是一個讓用戶質押 ETH 並獲得流動性再質押代幣(rsETH)的協議,rsETH 可以在各 DeFi 平台間自由流通,包括存入 Aave 作為抵押品借款。 問題出在 Kelp DAO 用於跨鏈橋接的 LayerZero 協議設定上。LayerZero 是一套跨鏈訊息傳遞系統,核心機制是驗證節點確認跨鏈訊息的真實性。LayerZero 官方早已在整合文件中明確建議開發者採用多驗證節點設定,也就是需要多個獨立節點同時確認,才能讓一筆跨鏈訊息生效。 Kelp DAO 沒有採納這個建議,他們使用的是單一驗證節點設定。 攻擊者的做法是: 滲透並控制 Kelp DAO 的 RPC 節點,同時發動 DDoS 攻擊,迫使系統切換到備援節點 備援節點已被攻擊者控制,系統在不知情下信任了來自受控節點的跨鏈訊息 偽造一筆合法的跨鏈訊息,讓橋接合約以為有對應的 ETH 存入,因此鑄造出 116,500 枚 rsETH,但背後完全沒有真實資產 將假 rsETH 存入 Aave V3 作為抵押品,借走大量真實 WETH 並迅速轉移 整個過程中,Aave 的預言機顯示 rsETH 價格正常,所有自動風控機制均未觸發 事後,LayerZero 官方聲明中初步將此次攻擊歸因於北韓駭客組織 Lazarus 旗下的 TraderTraitor 小組(以官方公告為準)。 ...