数万亿美元损失：黑客在 48 小时内抢劫 130 亿美元，DeFi 行业陷入困境

周末针对 KelpDAO 桥梁基础设施的安全漏洞引发了去中心化金融史上最重大的资本外逃事件之一，在 48 小时内从 DeFi 平台锁定的总价值蒸发了 132.1 亿美元。更新：Aave 的 TVL 已降至 $17.947B，过去 2 天下跌 $8.45B。所有链上所有 DeFi 协议的总 TVL 也从 $99.497B 下降到 $86.286B，下降了 $13.21B。https://t.co/mxLuMwJ8LU https://t.co/p1DRnv5gqj pic.twitter.com/fFyhjhjOLE — Lookonchain (@lookonchain) 2026 年 4 月 20 日攻击从周六开始，恶意行为者从 KelpDAO 基于 LayerZero 的桥接系统提取了 116,500 个 rsETH 代币，价值约 2.93 亿美元。犯罪者随后将这些受损的代币作为抵押品存入著名的 DeFi 借贷市场 Aave，以获取打包的以太币贷款。由于被盗的 rsETH 缺乏真正的基础资产，这些借贷活动给 Aave 带来了估计 1.95 亿美元的坏账。该机制类似于将欺诈性货币存入金融机构，然后用这些毫无价值的存款获得合法贷款。根据 DeFiLlama 的数据，截至周日，Aave 的锁定总价值从约 264 亿美元暴跌至 186 亿美元。这一戏剧性的收缩使 Aave 失去了生态系统中以存入资产衡量最大协议的地位。在更广泛的 DeFi 领域，TVL 在此期间从 995 亿美元缩减至 863 亿美元。 Euler、Sentora 和 Aave 等平台均出现两位数百分比下降，损失主要集中在借贷市场和基础设施重新抵押方面。 AAVE 治理代币贬值近 20%，在 24 小时内从周六的 112 美元跌至约 89.50 美元。这种价格走势在一定程度上是由机构参与者的大量撤资推动的。区块链情报平台 Lookonchain 追踪发现，MEXC 交易所和 Abraxas Capital 是最大的退出方，分别撤资 4.31 亿美元和 3.92 亿美元。 Aave 第 3 版的 USDT 和 USDC 储备金利用率已达到 100%。这种情况意味着超过 51 亿美元的稳定币目前无法使用，并且在新的流动性到达或未偿贷款得到偿还之前无法赎回。截至目前的报告，28.7 亿美元的 USDT 储备中只剩下 2,540 美元可供提取。安全事件发生后，Aave 暂停了 v3 和 v4 部署中的 rsETH 市场。该平台还冻结了以太坊、Arbitrum、Base、Mantle 和 Linea 网络中的 WETH 储备。 Aave 随后证实，以太坊主网上的 rsETH 保持着基础资产储备的全力支持。许多其他协议暂停了 LayerZero 桥接集成，包括 Curve Finance、Ethena 和 BitGo 的 Wrapped Bitcoin 服务。 Presto Research 研究总监 Peter Chung 的初步检查表明，该漏洞可能源自桥的验证基础设施，而不是其智能合约代码。他强调，这一事件表明，相互关联的 DeFi 协议如何能够放大风险传染，远远超出最初的妥协点。本集是对 Aave 的“伞”安全框架的首次重大检查，该框架于 2025 年 6 月启动，旨在提供针对坏账情况的自动保护措施。 4 月 6 日，由于 Aave v4 的战略轨迹和资源分配方面的冲突，Aave 与风险管理提供商 Chaos Labs 分拆仅两周后，这场危机就到来了。