Kelp DAO 遭盜 2.9 億美元引爆恐慌　以太坊及 Arbitrum 市場受震盪

Kelp DAO 生態系統爆出逾 2.9 億美元資金被盜事件，衝擊以太坊及 Arbitrum 相關活動，市場參與者迅速轉趨審慎，多個借貸協議亦啟動緊急措施以控制風險外溢。 事件焦點落在 rsETH 跨鏈橋，該橋樑負責串連多個平台流動性，並被用作抵押借貸。由於 DeFi 協議之間高度互聯，受損資產一旦被納入抵押或作再質押，容易觸發連鎖效應，令系統性風險升溫。 市場反應迅速。Aave 代幣在動盪期間一度下挫接近 18%，反映投資者對不確定性上升作出快速定價，並加速調整與事件相關資產的持倉。 鏈上取證顯示，漏洞並非源自 LayerZero 基礎設施。研究人員指出，問題與來源鏈私鑰遭入侵後引發的「peer 信任」機制缺陷有關，令未獲授權者得以存取。攻擊者其後控制一個合法的 Kelp DAO peer 合約，直接介入跨鏈橋操作，並在未被及早發現下轉移資金。區塊鏈資料亦顯示，初始交易資金經 Tornado Cash 進行，增加追蹤難度。 取得資產後，攻擊者未有立即觸發清算，而是採取槓桿策略以延長對資金的控制：把 rsETH 存入借貸平台作抵押，再借出 Wrapped Ethereum，既抽走流動性，又維持對底層資產的掌控，令協議需面對抵押品估值不明帶來的額外壓力。 分析人士估算，攻擊者現時控制逾 106,000 枚 ETH，市值接近 2.5 億美元。PeckShieldAlert 亦指出，該地址在 Aave（以太坊）為第 8 大 variableDebtEthWETH 持倉者，規模為 52,443.94 單位（約 1.23 億美元）；在 Arbitrum 則為第 4 大 variableDebtarbWETH 持倉者，規模為 12,381.93 單位（約 2,200 萬美元）。總持倉：106,466.7 枚 ETH（約 2.5 億美元）。 在多平台共享流動性的結構下，上述倉位令風險在系統內擴散，且借入資金的使用令圍堵更為複雜，風險不再局限於單一協議。Aave 隨即在其 V3 及 V4 部署中凍結所有 rsETH 市場，移除借貸功能以限制進一步損害並穩定系統。Aave 創辦人 Stani Kulechov 表示，核心智能合約仍然安全，但事件凸顯外部整合及跨鏈依賴所帶來的風險。 是次事件再次反映，一旦共享基礎設施出現漏洞，即使協議迅速採取遏止措施，DeFi 平台間的風險仍可在短時間內迅速傳導。