最近 DeFi 生态爆出一个挺严重的安全漏洞，我看了一下相关数据，整个事件的影响范围比想象中更广。

Kelp DAO 的跨链桥在 4 月中旬遭到黑客攻击，损失金额高达 2.92 到 2.94 亿美元，这是今年以来 DeFi 领域规模最大的安全事件。黑客通过伪造跨链消息，一次性盗取了 116,500 枚 rsETH，后来还想再搬走 80,000 枚，不过被 Kelp DAO 及时暂停合约阻止了。

更让人担心的是，这场攻击引发了多米诺骨牌效应。黑客把窃来的 rsETH 当作抵押品丢进 Aave、SparkLend、Fluid 这些主流借贷协议，借出大量 WETH 和 ETH。一旦 rsETH 被标记为受损资产，这些平台立刻面临巨额坏账。Aave 反应够快，马上冻结了 V3 和 V4 上的 rsETH 市场，但其他平台的损失已经无法避免。

这次事件的根源其实在于 LayerZero 构建的跨链桥存在漏洞。黑客先用 Tornado Cash 筹备资金，埋伏了大约 10 小时才动手，利用 lzReceive 函数触发了漏洞。有趣的是，攻击发生在假日期间，各平台的反应速度普遍较慢，这也暴露了 DeFi 在应急处置上的短板。

我注意到这次事件很好地说明了「乐高积木式」组合的风险——单个跨链桥的漏洞，瞬间就能波及整个生态。黑客现在已经把约 2.5 亿美元的窃取代币兑换成了 ETH，资金流向已经追踪到链上。

Kelp DAO 的应对还算及时，在 46 分钟内启动了紧急机制，暂停了以太坊主网和多个 L2 上的 rsETH 合约，并联合 LayerZero 和安全审计公司进行调查。不过跨链流动性已经严重受创，多条链上的封装以太币都陷入了困境。

对于有资金在 DeFi 平台质押的人来说，现在最明智的做法就是赶紧把钱撤到自托管钱包。考虑到后续可能还会有更多平台暂停提币，早点行动总没错。安全研究团队还在持续追踪黑客地址，赔偿方案目前还没出来，大家还是要密切关注官方公告。