最近 DeFi 生態爆出一個挺嚴重的安全漏洞，我看了一下相關數據，整個事件的影響範圍比想像中更廣。

Kelp DAO 的跨鏈橋在 4 月中旬遭到駭客攻擊，損失金額高達 2.92 到 2.94 億美元，這是今年以來 DeFi 領域規模最大的安全事件。駭客透過偽造跨鏈訊息，一次性盜取了 116,500 枚 rsETH，後來還想再搬走 80,000 枚，不過被 Kelp DAO 及時暫停合約阻止了。

更讓人擔心的是，這場攻擊引發了多米諾骨牌效應。駭客把竊來的 rsETH 當作抵押品丟進 Aave、SparkLend、Fluid 這些主流借貸協議，借出大量 WETH 和 ETH。一旦 rsETH 被標記為受損資產，這些平台立刻面臨巨額壞帳。Aave 反應夠快，馬上凍結了 V3 和 V4 上的 rsETH 市場，但其他平台的損失已經無法避免。

這次事件的根源其實在於 LayerZero 構建的跨鏈橋存在漏洞。駭客先用 Tornado Cash 籌備資金，埋伏了大約 10 小時才動手，利用 lzReceive 函數觸發了漏洞。有趣的是，攻擊發生在假日期間，各平台的反應速度普遍較慢，這也暴露了 DeFi 在應急處置上的短板。

我注意到這次事件很好地說明了「樂高積木式」組合的風險——單個跨鏈橋的漏洞，瞬間就能波及整個生態。駭客現在已經把約 2.5 億美元的竊取代幣兌換成了 ETH，資金流向已經追蹤到鏈上。

Kelp DAO 的應對還算及時，在 46 分鐘內啟動了緊急機制，暫停了以太坊主網和多個 L2 上的 rsETH 合約，並聯合 LayerZero 和安全審計公司進行調查。不過跨鏈流動性已經嚴重受創，多條鏈上的封裝以太幣都陷入了困境。

對於有資金在 DeFi 平台質押的人來說，現在最明智的做法就是趕緊把錢撤到自託管錢包。考慮到後續可能還會有更多平台暫停提幣，早點行動總沒錯。安全研究團隊還在持續追蹤駭客地址，賠償方案目前還沒出來，大家還是要密切關注官方公告。