详解Kelp DAO被黑：2026年DeFi最严重危机

视频 AI 总结： 本次DeFi安全事件中，攻击者通过攻破KelpDAO的rstETH跨链桥单点DVN的RPC节点，伪造消息解锁11.5万枚rstETH（价值约2.5亿美元），并以此在Aave等协议超额借贷，引发连锁反应。Aave的ETH和稳定币利用率达100%，TVL从260亿骤降至160亿。事件暴露了链下基础设施（RPC）作为新攻击向量的风险，以及DeFi组合性带来的传染效应。KelpDAO与Layer0就配置责任互相指责，目前坏债处置方案未定，市场持续承压。

关键信息：

• 攻击方式：利用Layer0 OFT系统中仅配置一个DVN的单点故障，攻击者先攻破Layer0内部的两个RPC节点，并DDoS其他节点，使DVN误信Unichain上发生了rstETH销毁，从而在以太坊主网桥合约释放大量rstETH。
• 损失规模：直接盗取约11.5万枚rstETH（约2.5亿美元），但更严重的是导致Aave等借贷协议出现巨额坏账（Aave借出约1.94亿美元），引发全面挤兑。
• 连锁反应：rstETH作为抵押品被大量借出，ETH和稳定币利用率达100%，TVL暴跌约100亿美元；借贷利率飙升，部分用户被清算。
• 责任争议：KelpDAO指责Layer0默认推荐单DVN配置，Layer0则称KelpDAO未按最佳实践采用多个独立DVN。
• 教训：DeFi需关注链下基础设施安全（如RPC），应引入动态借贷上限、断路器机制，风险管理者需评估更多攻击向量。
• 解决方案选项：KelpDAO有三种选择——①仅赔偿以太坊主网rstETH持有者（L2持有者承担损失）；②社会化损失（所有持有者同比例受损）；③按快照全额赔偿，但让Aave等协议承担坏账。作者个人倾向方案②（所有持有者同等受损），并强调应尽快决定以结束市场恐慌。