KuCoin
Log masuk
language_currency
Halaman Utama
Blog
Crypto Report
Perincian
img

Pengeksploitasian KelpDAO rsETH: Bagaimana Serangan Jambatan LayerZero $292Juta Menciptakan Hutang Buruk $177Juta di Aave

2026/04/20 10:30:03

Pengeksploitasian KelpDAO rsETH: Bagaimana Serangan Jambatan LayerZero $292Juta Menciptakan Hutang Buruk $177Juta di Aave

Pengenalan

Apa yang berlaku apabila satu titik kegagalan di jambatan silang-rantaian menjadi masalah $292 juta?
 
Pada 18 April 2026, industri mata wang kripto mendapat jawapannya secara masa nyata. KelpDAO, sebuah protokol restaking cair, telah dikosongkan sebanyak 116.500 rsETH yang bernilai kira-kira $292 juta melalui kerentanan dalam jambatan berasaskan LayerZero-nya. Serangan itu tidak hanya mencuri token—ia juga menciptakan hutang buruk berjumlah kira-kira $177 juta yang kini berada di buku Aave, meninggalkan para penyimpan berusaha keras dan komuniti DeFi bertanya-tanya sama ada era kewangan silang rantai mempunyai masalah kepercayaan asas.
 

Apa itu KelpDAO dan rsETH? Memahami Ruang Liquid Restaking

KelpDAO adalah protokol restaking cair yang dibina di atas EigenLayer, membenarkan pengguna bertaruh ETH mereka melalui protokol ini dan menerima rsETH (ETH yang telah direstake) sebagai token cair yang mewakili kedudukan mereka yang bertaruh. Konsep ini—restaking cair—membolehkan pengguna mengekalkan likuiditi sambil masih mendapat ganjaran bertaruh, menggabungkan hasil daripada bertaruh asli dengan fleksibiliti token yang boleh diperdagangkan.
 
Token rsETH menjadi popular kerana ia boleh digunakan sebagai jaminan di protokol DeFi. Pengguna bertaruh ETH melalui KelpDAO, menerima rsETH, kemudian menggunakan rsETH itu untuk meminjam aset lain di pelbagai rantai. Masalahnya? Fungsi lintas-rantai ini bergantung pada teknologi jambatan LayerZero, khususnya konfigurasi 1-daripada-1 DVN (Data Verification Network) yang ternyata menjadi titik kegagalan tunggal.
 
Untuk mereka yang baru memulai dalam DeFi, konsepnya adalah mudah. KelpDAO menjanjikan pengguna bahawa mereka boleh mendapat ganjaran staking sambil ETH mereka masih boleh digunakan dalam protokol lain. Pelaksanaannya bergantung pada kepercayaan terhadap infrastruktur jambatan - kepercayaan yang runtuh pada 18 April apabila satu validator yang disusupi membenarkan penyerang mencetak rsETH tanpa jaminan. Penyerang tidak merompak blok rantai itu sendiri - mereka memanipulasi sistem pengesahan mesej yang memberitahu satu rantai bahawa token itu wujud di rantai lain.
 

The Serangan 18 April 2026: Bagaimana Serangan Berlaku

Pengeksploitasian berlaku dalam fasa-fasa selama kira-kira 46 minit, menurut laporan insiden. Bermula pada 18:52 UTC pada 18 April 2026, penyerang mengeksploitasikan kelemahan dalam konfigurasi jambatan LayerZero KelpDAO - khususnya, 1/1 DVN (pengesahan penandatangan tunggal) yang mengesahkan mesej lintas rantai.
 
Berikut adalah apa yang berlaku secara teknikal: 
 
 
Fasa Tindakan Kesan
1 Penyerang mengenal pasti kerentanan 1-daripada-1 DVN Titik kegagalan tunggal terdedah
2 Mint 116.500 rsETH tanpa jaminan ~18% daripada jumlah edaran
3 Menghubungkan rsETH melintasi 20+ rantai Aset terperangkap secara global
4 Deposit rsETH sebagai jaminan di Aave V3 Pinjam 126.000 WETH
5 Melaksanakan keluar sebelum jeda kecemasan $292 juta dicuri
 
 
Penyerang memberikan rsETH yang dicuri sebagai jaminan di Aave V3 dan meminjam sekitar 126,000 WETH (bernilai sekitar $236 juta pada masa itu). Ini menciptakan hutang buruk segera—Aave kini memegang rsETH yang nilainya jauh lebih rendah daripada WETH yang dipinjamkan.
 
Penyelidik keselamatan mencatat bahawa terdapat jendela 46 minit antara permulaan aktiviti mencurigakan dan ketika protokol dihentikan. Sekiranya penghentian berlaku lebih awal, tambahan $200 juta dalam aset jambatan yang berpotensi boleh dicegah. Penundaan itu membawa kos yang tinggi.
 

Krisis Hutang Buruk Aave: $177J dan Terus Meningkat

Akibat eksploitasi itu menciptakan krisis yang jauh lebih besar daripada pencurian awal. Aave’s WETH pool kini memegang kira-kira $177 juta dalam hutang buruk - penyerang meminjam 126,000 ETH menggunakan rsETH yang dicuri sebagai jaminan, dan hutang ini kini tetap dalam istilah ETH sementara jaminan itu telah runtuh nilainya.
 
Matematiknya jelas. Ketika penyerang menyediakan rsETH sebagai jaminan, mereka tahu ia tidak disokong. Aave menganggapnya sebagai jaminan yang sah bernilai kira-kira $2,500 setiap rsETH. Penyerang pergi dengan WETH yang sebenar. Aave tinggal dengan rsETH yang kini pada dasarnya tidak bernilai sebagai jaminan.
 
Pemerintahan Aave bertindak dengan cepat:
 
  • Jeda semua deposit rsETH baru di seluruh pasaran V3
  • Mengaktifkan kuasa kecemasan Aave Guardian
  • Mula perbincangan tatacara mengenai pemulihan hutang buruk
  • Aave TVL turun dari $26.4 bilion kepada $20.7 bilion - penurunan 25% dalam nilai terkunci total
 
Aave TVL turun dari $26.4 bilion kepada $20.7 bilion selepas serangan KelpDao - penurunan 25% dalam nilai terkunci keseluruhan
 
Bagi penyetor WETH di Aave, situasinya sangat berisiko. Hutang buruk bermakna dana penyetor berisiko jika pemulihan tidak berlaku. Tata kelola Aave sedang mengkaji pilihan pemulihan melalui protokol Umbrella dan perbendaharaan Aave, tetapi tiada penyelesaian jelas telah muncul sejak penulisan ini.
 
Penyerang meminjam lebih daripada 82,600 ETH (kira-kira $195 juta) dari Aave menggunakan rsETH yang dicuri, mencipta hutang buruk yang terus bertambah kerana apresiasi harga ETH membuatkan hutang itu lebih sukar ditutup melalui simpanan perbendaharaan.
 
 

Kerentanan Jambatan Silang-Blockchain: Masalah Sistemik

Pengeksploitasian KelpDAO bukan insiden terpisah — ia merupakan serangan DeFi terbesar pada 2026 sehingga jangka masa ini, mengikuti corak kerentanan jambatan yang telah mengganggu industri ini. Dari Jambatan Ronin 2022 ($625 juta) hingga Multichain 2023, jambatan silang-chian secara konsisten terbukti sebagai pautan paling lemah dalam infrastruktur DeFi.
 
Masalah asasnya adalah arkaitektur. Jambatan silang-rantaian memerlukan kepercayaan terhadap sistem pengesahan mesej. Apabila jambatan memberitahu Rantaian B bahawa token wujud di Rantaian A, mesej itu hanya sepercaya mekanisme pengesahan. Serangan KelpDAO memanfaatkan konfigurasi DVN 1-dari-1 - titik kegagalan tunggal yang sepatutnya tidak pernah dilaksanakan untuk protokol yang menguruskan ratusan juta dana pengguna.
 
Tanggapan industri bercampur-campur, tetapi coraknya jelas:
 
 
Tahun Insiden Kerugian Punca Utama
2022 Jambatan Ronin $625J Kompromi kunci peribadi
2023 Multichain $130J Kegagalan multi-sig
2024 Pelbagai jambatan $400J+ Banyak
2026 KelpDAO $292J Kegagalan 1-daripada-1 DVN
 
 
Kes KelpDAO adalah sangat mengkhawatirkan kerana kerentanan tersebut diketahui dalam arsitektur LayerZero tetapi tidak ditangani pada tingkat protokol sehingga selepas kerosakan berlaku.
 

Penglibatan dan usaha pemulihan Justin Sun

Dalam langkah yang tidak biasa, pendiri TRON Justin Sun menawarkan secara terbuka untuk bernegosiasi dengan penyerang KelpDAO. Sun memposting di X (sebelumnya Twitter), “Hacker KelpDAO, berapa yang anda inginkan? Mari kita berbincang. Tidaklah sepatutnya mengorbankan kedua Aave dan KelpDAO serta membiarkan mereka runtuh akibat serangan ini.”
 
Justin Sun mengulas serangan terhadap KelpDao
 
Penyerang meminjam kira-kira 126,000 ETH, mencipta hutang yang tetap dalam istilah ETH. Semasa harga ETH meningkat, beban hutang terhadap perbendaharaan Aave dan protokol Umbrella juga meningkat. Intervensi Sun mencerminkan kebimbangan ekosistem yang lebih luas—ini bukan hanya tentang KelpDAO atau Aave, tetapi tentang mencegah krisis sistemik yang boleh mempengaruhi pasaran pinjaman di seluruh DeFi.
 
rsETH yang dicuri telah ditandai dan dibekukan di beberapa rangkaian. Penyerang mengawal ETH dalam jumlah besar tetapi tidak dapat keluar dari kedudukan dengan mudah tanpa memicu pembekuan dan penyiasatan. Ini menciptakan keadaan buntu — penyerang mempunyai nilai secara kertas tetapi tidak dapat merealisasikannya tanpa kerjasama.
 

Patutkah saya melabur dalam AAVE di KuCoin selepas eksploit rsETH?

Ini adalah soalan di benak setiap pelabur DeFi selepas insiden KelpDAO. Aave adalah protokol pinjaman terbesar dalam DeFi, dan eksploit ini mengungkap kerentanan yang banyak orang sangka telah diselesaikan. Berikut adalah penilaian jujur.
 

Sebab-sebab untuk berhati-hati

  • Ketidakpastian hutang buruk: $177 juta hutang buruk berada di kolam WETH Aave, dan tempoh pemulihan tidak jelas
  • Penurunan TVL: Penurunan TVL 25% menandakan kepercayaan yang melemah
  • Risiko lintas rantai: Aave menggunakan jambatan pihak ketiga untuk aset lintas rantai - sebarang kerentanan jambatan mencipta eksposur
  • Ketidakpastian tata pentadbiran: Cadangan pemulihan masih dibincangkan, tanpa hasil yang dijamin
  • Sentimen pasaran: Harga AAVE turun kira-kira 10% kerana pasaran telah menilai kemungkinan kerugian
 

Sebab-sebab untuk Mempertimbangkan AAVE

  • Kedudukan pemimpin pasaran: Walaupun terdapat eksploit, Aave tetap menjadi protokol pinjaman yang paling dominan
  • Potensi pemulihan: Bait Aave dan protokol Umbrella mempunyai sumber daya untuk menutup sebahagian kerugian jika dilaksanakan dengan betul
  • Kepentingan DeFi: Protokol pinjaman adalah asas - permintaan wujud tanpa mengira isu protokol individu
  • Ketahanan sejarah: Aave telah bertahan daripada serangan dan krisis pasaran sebelumnya
  • Respons tata kelola: Jeda pantas dan pengaktifan tata kelola menunjukkan kemampuan respons krisis
 

Ringkasan Penilaian Risiko

Pengeksploitasian KelpDAO mewakili era baharu risiko DeFi—kerentanan lintas rantai yang mempengaruhi bukan sahaja pengguna jambatan tetapi juga sesiapa sahaja yang menyediakan jaminan kepada protokol yang terdedah. Bagi Aave, kesan terus ialah kira-kira $177 juta dalam hutang buruk terhadap $20.7 bilion TVL yang tinggal, kira-kira 0.85% daripada jumlah deposit yang terlibat.
 
Soalan utama: Adakah anda mampu menoleransi tahap risiko protokol ini? Jika anda mendepositkan ke Aave, fahamilah bahawa anda terdedah kepada pilihan jaminan peminjam lain. Penyerang memanfaatkan sistem jaminan Aave, bukan kerentanan deposit langsung, tetapi kesannya terhadap pemberi deposit adalah serupa - dana mereka kini berisiko semasa negosiasi pemulihan.
 

Bagaimana untuk Dagang AAVE di KuCoin

Bagi mereka yang memutuskan untuk mendagang AAVE di KuCoin selepas eksploit, berikut panduan praktikal.
 

Langkah 1: Fahami Risiko

AAVE mengalami kemeruapan yang ketara selepas eksploit. Harga boleh bergerak 10-20% dalam mana-mana arah berdasarkan berita pemulihan. Hanya dagang dengan modal yang anda mampu rugi atau tahan melalui kemeruapan yang panjang.
 

Langkah 2: Laksanakan Perdagangan Anda

Di KuCoin, cari “AAVE/USDT” dalam antaramuka dagangan. Volum dagangan tinggi semasa tempoh ini, memberikan pasaran cair untuk kedua-dua pesanan pasaran dan pesanan had.
 

Langkah 3: Pertimbangkan Saiz Kedudukan

Mengingat ketidakpastian yang berterusan, pertimbangkan saiz kedudukan yang lebih kecil daripada biasa. Penurunan harga 10% telah berlaku, tetapi tempoh pemulihan masih tidak pasti. Rata-rata kos dolar ke dalam kedudukan seiring masa mengurangkan risiko masa.
 
 

Kesimpulan

Pengeksploitasian KelpDAO rsETH menjadi insiden DeFi terbesar pada 2026 - bukan hanya kerana pencurian $292J, tetapi kerana apa yang ia dedahkan mengenai infrastruktur lintas-chain. Satu validator membenarkan penyerang mencetak token tanpa jaminan di lebih 20 rantai, kemudian menggunakannya sebagai jaminan di Aave.
 
Hutang buruk sebanyak $177 juta yang kini berada di Aave menonjolkan rantai risiko sistemik DeFi. Komposabiliti protokol memberi manfaat kepada pengguna tetapi juga mencipta mod kegagalan yang melintasi sempadan protokol. Jambatan lintas-chian tetap menjadi tautan paling lemah industri sehingga reformasi arkaitektur menangani konfigurasi titik kegagalan tunggal.
 
Untuk peserta DeFi, pelajarannya bukanlah meninggalkan ruang ini—tetapi memahami risiko dengan lebih tepat. Penyerang memegang aset bernilai $292 juta yang tidak dapat dicairkan dengan mudah. Khusus untuk Aave, pemulihan melibatkan mekanisme yang dibiayai oleh tata kelola tanpa jangka waktu yang dijamin. Protokol ini telah bertahan menghadapi tantangan sebelumnya, tetapi insiden ini mengekspos batasan yang memerlukan respons struktural berterusan.
 

Soalan Lazim

So, adakah ETH saya selamat di Aave selepas eksploit KelpDAO?
A: Terdapat hutang buruk sebanyak $177 juta dalam kolam WETH Aave, tetapi ini mewakili kurang daripada 1% daripada TVL keseluruhan ($20.7 bilion). Pemerintahan sedang membincangkan pilihan pemulihan. Pantau pengumuman pemerintahan Aave untuk kemas kini mengenai tempoh dan mekanisme pemulihan.
 
Soalan: Apa yang berlaku kepada rsETH yang dicuri?
A: $292 juta dalam rsETH masih ditandai merentasi rantai. Penyerang tidak dapat melelongkan aset-aset ini dengan mudah tanpa memicu pembekuan. Justin Sun menawarkan secara awam untuk berunding dengan penyerang bagi memulangkan dana.
 
Siapakah yang bertanggungjawab atas eksploit KelpDAO?
A: Analisis teknikal menunjukkan eksploitasi terhadap konfigurasi DVN 1-dari-1 LayerZero. Ini membolehkan penyerang membuat pesan lintas rantai palsu dan mencetak rsETH yang tidak disokong. Kerentanan berada dalam pengaturan jambatan KelpDAO, bukan protokol inti LayerZero.
 
Soal: Akankah Aave memulihkan hutang buruk sebanyak $177J?
A: Pemerintahan Aave sedang mengkaji pemulihan melalui protokol Umbrella dan simpanan perbendaharaan. Tiada jadual yang telah disahkan. Penyerang meminjam 126,000 ETH berdasarkan jaminan yang tidak disokong—pemulihan memerlukan kerjasama perompak atau pembiayaan daripada pemerintahan.
 
T: Patutkah saya mengelakkan DeFi selepas eksploit ini?
A: Eksploitasi KelpDAO menunjukkan risiko lintas rantai tetapi tidak menandakan semua protokol DeFi tidak selamat. Fahami eksposur anda terhadap aset lintas rantai dan audit konfigurasi jambatan protokol yang anda gunakan. Pencagaran di antara pelbagai protokol dan saiz kedudukan yang cermat masih merupakan strategi yang bijak.
 
 

Penafian: Halaman ini telah diterjemahkan dengan menggunakan teknologi AI (dikuasakan oleh GPT) untuk keselesaan anda. Untuk mendapatkan maklumat yang paling tepat, rujuk kepada versi bahasa Inggeris asal.