2.93 億美元 KelpDAO 駭客事件：基礎設施漏洞與系統複雜性引發的 DeFi 安全新局面

2026 年 4 月 18 日，去中心化金融 (DeFi) 領域遭受了一場前所未有的精確攻擊，導致 KelpDAO 流失 2.93 億美元。與以往的代碼級漏洞不同，這次攻擊直接針對生態系統根基的基礎設施，入侵內部節點並利用配置缺陷，其嚴重性更甚以往。

截至 2026 年 5 月 16 日，即事件發生約一個月後，業界正迎來實驗性金融時代的終結，並面臨要求高度安全標準的新制度現實。這次事件成為一個關鍵契機，顯示 DeFi 已進入必須管理複雜互連性，而不僅僅是「代碼集合」的成熟期。

攻擊者透過向 rsETH 適配器傳送偽造的 LayerZero 數據包，在單筆交易中成功竊取了 116,500 rsETH。KelpDAO 隨即暫停了合約以防止進一步攻擊，但初步的資產流失已經完成。此次事件被記錄為 2026 年發生的最大規模 DeFi 黑客攻擊，對市場造成了巨大衝擊。

「這次事件不僅僅是合約層面的防禦問題，更展示了攻擊在整合協議之間擴散的速度有多快。」——Cyvers 行政總裁 Deddy Lavid

這次黑客攻擊並非源於智能合約本身的漏洞，而是源於鏈下基礎設施的失效。攻擊者「污染」了通訊節點，誘導系統信任偽造訊息，特別是去中心化驗證者網絡 (DVN) 採用僅由單個驗證者節點運行的「1-of-1」配置，成為了致命的單點故障。

Lazarus Group 的參與及智能惡意軟件的威脅

Chainalysis 等保安專家指出，北韓的 Lazarus Group 是這次攻擊的幕後黑手。他們表現出極高的嚴密性，使用了設計成在受感染的 RPC 節點執行任務後自動刪除的智能惡意軟件，令事後的取證調查變得極其困難。

• 透過入侵內部 RPC 節點進行數據集篡改及污染
• 對外部節點發動分散式阻斷服務 (DDoS) 攻擊以干擾驗證程序
• 插入偽造的跨鏈訊息以誘導驗證者批准

KelpDAO 的資產外流引發了即時的市場連鎖反應，導致 DeFi 總鎖倉量 (TVL) 在短短兩天內蒸發了 132.1 億美元。特別是最大的借貸平台 Aave，由於對受污染的 rsETH 抵押品的擔憂，存款資產從 264 億美元驟降至 180 億美元，遭受了巨大打擊。

現在，DeFi 保安的前線正從單純的代碼漏洞轉向與系統複雜性的鬥爭。交織在一起的跨鏈協議和再質押 (restaking) 結構已成為巨大的風險因素，單點發生的錯誤就會威脅到整個生態系統的流動性，這凸顯了建立更穩固保安架構的必要性。

截至 2026 年正在實施的歐盟《加密資產市場法》(MiCA)，為此類大規模黑客事件中的資產追回和責任認定提供了法律框架。強化的監管環境正強制各協議採用機構級保安標準和合規性，引導生態系統進行體質改善以實現長期生存。

未來市場能否穩定，取決於 KelpDAO 將發佈的最終技術取證報告以及 Aave 解決壞帳的過程。這次規模達 2.93 億美元的損失，預計將被記錄為一次嚴酷的成年禮，提醒人們 DeFi 若要蛻變為真正的金融基礎設施，必須跨越保安與信任的門檻。