KelpDAO 遭駭後波及 Volo Protocol 遭受額外損失... DeFi 市場爆發「擠提」危機

去中心化金融（DeFi）生態系統因近日發生的數宗高額駭客攻擊事件而動盪不安，損失價值達數億美元。在業界尚未從 2026 年最大規模、涉資 2.92 億美元的 KelpDAO 入侵事故中恢復過來之際，Volo Protocol 又因多個金庫損失 350 萬美元而成為最新受害者。這一系列安全事故觸發了市場的「擠提」心理，導致 DeFi 協議出現 100 億美元的資金外流，同時暴露了現代收益資產脆弱的相互關聯性。

Volo Protocol 在持有 WBTC、XAUm 及 USDC 的三個金庫中損失了約 350 萬美元。此次攻擊發生在 KelpDAO 事件後市場信心極度萎縮的情況下，對投資者造成了沉重打擊。安全專家認為，此次入侵利用了金庫本身的漏洞，這表明不僅是大型協議，中小型平台也隨時面臨安全威脅。

「由於 DeFi 應用程式高度相互關聯，單一協議的漏洞會對整個生態系統造成系統性風險。」

雖然與 KelpDAO 的損失規模相比，Volo Protocol 的損失看似較小，但對市場造成的心理影響卻不容忽視。連串的遭駭消息令投資者對資產安全性產生懷疑，導致即時的提款壓力。分析普遍認為，為了追求收益最大化而將資產存入多個協議的策略，反而成為了風險擴散的渠道。

KelpDAO 的陰影：2.92 億美元的前所未有損失

發生於 4 月 18 日的 KelpDAO 遭駭事件針對 rsETH 跨鏈橋，竊取了約 116,500 枚 rsETH 代幣。這相當於 rsETH 總流通供應量的約 18%，成為導致整個 rsETH 生態系統不穩定的關鍵因素。攻擊者透過 Tornado Cash 洗錢了部分遭竊資金，而 KelpDAO 方面則不得不透過多簽錢包凍結合約，以防止額外的 1 億美元損失。

• KelpDAO：損失 2.92 億美元，主要資產 rsETH，透過入侵 LayerZero RPC 節點進行攻擊。
• Volo Protocol：損失 350 萬美元，主要資產 WBTC、XAUm、USDC，利用金庫漏洞。

據悉，此次 KelpDAO 攻擊的幕後黑手是北韓拉撒路集團（Lazarus Group）旗下的「TraderTraitor」部隊。他們透過入侵為 LayerZero 驗證器提供數據的兩個 RPC 節點，部署惡意代碼並注入虛假交易數據，展現了極高的技術精密性。攻擊者藉此在無抵押的情況下擅自鑄造 rsETH，這是跨鏈橋安全核心要素崩潰的結果。

KelpDAO 的漏洞迅速蔓延至 Aave 等主要借貸協議。攻擊者將擅自鑄造的 rsETH 作為 Aave 的抵押品來借出實際的 WETH，在此過程中為 Aave 留下了約 1.96 億美元的呆帳。因此，Aave 採取了緊急措施，凍結了以太坊網絡上的 rsETH 和 WETH 市場，但市場恐慌情緒已經擴散。

市場崩潰與「擠提」的現實化

根據鏈上分析平台 DeFiLlama 的數據，事件發生後，整個 DeFi 市場的總鎖倉價值（TVL）驟降了約 100 億至 130 億美元。Aave 的 TVL 在短短幾天內暴跌了 33%，其治理代幣 AAVE 的價格亦下跌了 30%，反映了投資者的拋售潮。特別是包括 CosmoHub 在內的 120 多個網絡都經歷了 TVL 下跌，證實了市場整體的倒退。

根據安全平台 Immunefi 和 Hacken 的報告，2024 年第三季度的損失中，約 28.7% 僅靠自動化事故應對策略即可防禦。進入 2026 年，隨著遭駭規模進一步擴大，除了單純的代碼審計外，加強實時監控和跨鏈橋基礎設施的安全標準已變得迫在眉睫。DeFi 的未來現在不僅取決於個別協議的增長，更取決於能否建立管理相互關聯風險的系統性防禦體系。