\u0022292\u0022百萬美元Kelp被盜事件揭示DeFi基建風險

加密市場周末爆出約\u0022292\u0022百萬美元攻擊事件，令業界震盪，暴露去中心化金融（DeFi）基礎設施的脆弱點，亦引發市場憂慮借貸協議或出現連鎖衝擊。事件仍在調查中，初步分析指攻擊核心指向Kelp的rsETH代幣——一種可生息的以太幣（ETH）版本——以及用於跨鏈轉移資產的機制。 市場人士認為，攻擊者疑似操縱相關跨鏈流程，在缺乏足額資產支持下大量鑄造rsETH，隨即把這些代幣作為抵押品，快速在借貸市場借出並抽走真實資產，主要流向最大型去中心化加密借貸平台Aave（AAVE，\u0022$90.11\u0022）。這宗事件亦被視為DeFi再受打擊，距離兩周前Solana生態協議Drift遭\u0022285\u0022百萬美元攻擊不久，進一步打擊近\u0022$90\u0022 billion加密市場的投資者信心。 硬件錢包商Ledger的CTO Charles Guillemet向CoinDesk表示，事件在架構層面涉及LayerZero的橋接組件。跨鏈橋一般做法是在一條鏈鎖定資產，並在另一條鏈鑄造等值代幣，過程依賴受信任的實體（常稱為oracle或validator）確認存款。本案中，Kelp實際上扮演了該驗證角色。 Guillemet稱，系統採用\u0022single-signer\u0022設定，即只需一個實體即可批准交易。\u0022看起來攻擊者能夠簽署訊息……從而鑄造大量rsETH，\u0022他說，至於攻擊者如何取得該權限仍未明朗。Curve Finance創辦人Michael Egorov亦指出相同配置弱點：\u0022當你信任單一一方——無論那一方是誰——就可能出事。\u0022 在這種設定下，即使源鏈並沒有鎖定相應資產，攻擊者仍可鑄造沒有支撐的代幣。代幣鑄成後被迅速投入市場。Guillemet表示，攻擊者\u0022立即把它們存入借貸協議，主要是Aave，用來抵押借出真實ETH\u0022。這令風險由單一協議事故擴散為更廣泛的市場問題：借貸平台手上留下難以處置的抵押品，但高流動性資產已被抽走。 Egorov指出，\u0022Aave手上留下rsETH，基本上賣不出去，同時ETH被借到上限，所以沒有人能提走ETH。\u0022他警告，Aave及其他借貸協議可能積壓數以億美元計的可疑抵押品及壞賬，並引發類似\u0022bank run\u0022的提現潮風險。事件後，Aave協議上的資產規模約減少\u0022$6\u0022 billion；其相關代幣在過去\u002224\u0022小時內下跌約\u002215%\u0022。 目前關鍵疑點仍是validator如何被攻破。系統依賴LayerZero的官方節點，使市場不確定是遭入侵、配置失誤，還是被誤導。Egorov說：\u0022是被黑了？是被騙了？我們不知道。\u0022攻擊者身份同樣未明，但Guillemet認為，以攻擊規模推斷屬高水平行動者，\u0022明顯不是腳本小子\u0022。 除即時損失外，事件再次提醒市場：DeFi互聯程度愈高，任何一層出錯都可能迅速向外擴散。Egorov認為，非隔離式借貸模式（不同資產池共擔風險）會放大此類事故衝擊；他亦批評借貸平台在引入新資產時的審核與配置存在不足，例如Kelp的\u00221-of-1\u0022驗證者設計理應更早被標示為高風險。 Egorov亦提到\u0022利好\u0022一面：\u0022加密市場環境極其嚴苛，沒有銀行能在這種環境下生存——但我們仍在運作。\u0022他相信\u0022DeFi會從事件中學習，變得比以前更強\u0022。不過，多宗攻擊事件持續侵蝕投資者對DeFi的信任。Guillemet稱，\u0022整體而言，這類事件會削弱外界對DeFi協議的信任\u0022，並補充指\u00222026\u0022年\u0022很可能又會是黑客事件最嚴重的一年\u0022。