週末發生了一起約 $292 億美元 的攻擊事件,震動了加密貨幣行業,暴露了去中心化金融(DeFi)基礎設施的漏洞,並引發了對貸款協議連鎖效應的擔憂。
儘管調查仍在進行中,早期分析顯示,此次攻擊主要針對 Kelp 的 rsETH 代幣——一種產生收益的以太坊(ETH)版本——以及用於在區塊鏈之間轉移資產的機制。
攻擊者似乎操縱了該系統,在沒有足夠資產支持的情況下創建了大量代幣,然後迅速將這些代幣作為抵押品借入資金,並從借貸市場中抽走真實資產,主要針對最大的去中心化加密貨幣借貸平台 Aave AAVE$90.11。
此事件是對去中心化金融的最新打擊,僅在約兩週前 Solana 基礎協議 Drift 遭遇 2.85 億美元的攻擊後發生,進一步削弱了投資者對近 900 億美元加密貨幣領域的信任。
總體而言,此次攻擊針對的是 LayerZero 橋接組件——這是一種讓資產能在不同區塊鏈之間移動的基礎設施,硬件錢包製造商 Ledger 的首席技術官 Charles Guillemet 在致 CoinDesk 的備註中表示。
橋樑通常透過在一個鏈上鎖定資產,並在另一個鏈上鑄造等值代幣來運作。這個過程依賴於一個受信任的實體——通常稱為或然子或驗證者——來確認充幣。
在這種情況下,Kelp 有效地擔任了該驗證者。根據 Guillemet 的說法,該系統依賴單一簽名者設置,意味著僅有一個實體可以批准任何交易。
他說:「看來攻擊者能夠簽署一條訊息……使他能夠鑄造大量 rsETH。」他補充說,目前仍不清楚該存取權限是如何獲得的。
Michael Egorov,Curve Finance 的創始人,指出該系統配置中的相同弱點。
當你信任單一當事人時,事情可能會發生——無論那是誰。
該設定允許攻擊者有效創建無資產抵押的代幣,即使源鏈上並未鎖定相應資產。
一旦鑄造完成,這些代幣便迅速被部署。Guillemet 解釋說:「攻擊者立即將它們存入借貸協議,主要是 Aave,以借入真正的 ETH。」
這一操作將問題從單一漏洞轉變為更廣泛的市場問題。DeFi 借貸平台現在面臨著難以解套的抵押品,而寶貴且流動性高的資產已遭抽乾。
Aave 剩下 rsETH,無法真正出售,且最大借出 ETH,因此沒有人能提幣,”Curve 的 Egorov 說。
他警告說,因此,Aave 及其他借貸協議可能持有數億美元的可疑抵押品和不良債務,引發用戶搶提幣所導致的潛在「銀行擠兌」動態的擔憂。
Aave 在事件發生後,用戶提取資產,導致協議上的資產減少約 $6 億。與該協議相關的 代幣 在過去 24 小時的交易中下跌了約 15%。
關於驗證節點如何被入侵,仍存在關鍵疑問。該系統依賴 LayerZero 的官方節點,這引發了對其是否被駭入、設定錯誤或被誤導的疑慮。
「是被駭客攻擊了嗎?還是被騙了?我們不知道,」葉戈羅夫說。
攻擊者的身份也未知,但吉勒梅說,此次攻擊的規模表明其背後是一個複雜的行為者。
「顯然不是什麼腳本小子,」他說。
除了即時損失外,此事件再次提醒我們,隨著去中心化金融日益相互關聯,某一層面的失敗可能迅速在系統中蔓延。
Egorov 認為,資產在不同資金池之間共享風險的非隔離借貸模式,會放大此類事件的影響。
他還指出,新資產上線借貸平台時存在不足,並表示 Kelp 的 1-of-1 驗證器設定應更早被發現問題。
然而,葉戈羅夫表示這其中仍有好處。「加密貨幣是一個嚴酷的環境,任何銀行都無法生存——但我們正在與之共事,」他說,「我認為去中心化金融將從這次事件中吸取教訓,變得比以往更強大。」
然而,即使此類事件促使協議升級和重新設計,它們也逐漸削弱投資者對整個去中心化金融領域的信心。
「總的來說,這類事件削弱了人們對 DeFi 協議的信任,」吉勒梅說。
他補充道:「而 2026 年很可能再次成為遭駭事件最嚴重的一年。」