6亿美金三周被盗：DeFi 风险全面暴露吗？

在 2026 年 5 月 2 日前的短短三周内，DeFi 行业遭遇了有记录以来损失最惨重的“黑色月份”。据 AiCoin 数据显示，期间至少 12 个 DeFi 协议先后遭到攻击，累计损失金额超过 6.06 亿美元。这场风暴的核心由两起巨额盗取事件构成：Solana 永续合约交易所 Drift 损失约 2.85 亿美元，以及再质押协议 Kelp DAO 损失约 2.92 亿美元。仅这两起事件的涉案金额就占到了本轮总损失的 95% 以上，其规模之大、波及面之广，直接刺破了市场对顶级 DeFi 协议安全性的乐观预期。

伴随资金被盗而来的，是全行业的信用崩塌与流动性剧震。在 Kelp DAO 攻击发生后的短短两天内，DeFi 市场的总锁仓价值（TVL）暴跌逾 130 亿美元，部分分析甚至指出数日内的 TVL 蒸发量高达 200 亿美元。由于攻击者将被盗资产存入 Aave 等借贷协议套现，导致 Aave 瞬间暴露了约 2.46 亿美元的 rsETH 坏账。Karapetian Private Capital 的 Marat Karapetian 对此评价称，2026 年的这种密集攻击态势令市场感到震惊，投资者已深刻意识到 DeFi 体系内部存在的系统性脆弱，这种脆弱性正从单一协议的代码漏洞演变为跨协议、跨链的连锁风险。

Drift 六个月埋伏：多签被社工反转

作为 Solana 生态中最大的去中心化永续合约交易所，Drift 的失守并非源于常规的智能合约代码漏洞，而是一场长达六个月、针对人为治理环节的深度社交工程渗透。据复盘报告显示，攻击者长期伪装成量化交易公司，通过日常业务往来与协议核心贡献者建立了极高的信任。这种“长线埋伏”策略的核心在于削弱人的警惕性，为随后的技术突袭铺平道路。

攻击的具体实施精准利用了 Solana 的 durable nonces 特性。攻击者诱导安全委员会成员预签了一系列看似常规的维护交易，而此时 Drift 内部治理恰好移除了交易时间锁（Timelock），并将多签门槛调整为 2-of-5 模式。在这一安全冗余度降低的窗口期，攻击者成功引入了名为 "CarbonVote Token" 的虚构资产作为抵押品，通过操纵这些预签名交易绕过了实质性的安全审查。尽管 Drift 在 2026 年 2 月刚完成最近一次审计，但针对设备攻陷和签名者心理操控的人为环节失守，显然超出了传统代码审计的覆盖边界。

此次攻击最终导致约 2.85 亿美元的资产流失，占三周内行业总损失的近一半。更令市场不安的是，该事件已被中等置信度地归因为受国家支持的朝鲜黑客组织所为。这意味着 DeFi 协议面临的威胁已从单纯的代码极客演变为具备极高专业素养和耐心的国家级对手。当多签治理和运营安全在社交工程面前坍塌，DeFi 行业长期依赖的技术安全假设正面临前所未有的博弈压力，也为后续跨链协议的连锁崩溃埋下了伏笔。

Kelp DAO 跨链桥失守，rsETH 受创

Kelp DAO 遭遇的攻击揭示了跨链基础设施在极端配置下的脆弱性。据 AiCoin 数据显示，此次攻击的核心漏洞源于其通过 LayerZero 实现的跨链桥采用了 1-of-1 验证器配置。这种极低冗余的设计意味着只要单一验证节点失效，整个协议的安全防线即告崩溃。攻击者通过攻陷跨链桥所依赖的 RPC 节点并篡改跨链数据，诱导合约错误释放了 116,500 枚 rsETH。这一数额约占 rsETH 当时流通总量的 18%，巨量凭空铸造的资产瞬间冲击了再质押生态的供应平衡。

非法获取的 rsETH 随后被迅速转化为攻击工具，流入主流借贷协议。攻击者将被盗的 rsETH 存入 Aave 作为抵押品，借出真实的 ETH 资产。由于这部分 rsETH 缺乏底层资产支撑，直接导致 Aave 内部形成巨额坏账。市场对于坏账规模的测算存在一定区间：部分安全机构报道称 Aave 承担了约 2.46 亿美元的 rsETH 坏账；而摩根大通分析师引用的数据则指出，攻击者在 Aave 铸造了 2.92 亿美元无抵押 rsETH 并借出 ETH，最终造成约 2.3 亿美元的净损失。随着风险在链上蔓延，Compound 和 Euler 等主流借贷市场也相继受到波及，rsETH 的抵押品效用遭到质疑，市场信任度大幅下滑。

LayerZero 与多位区块链安全研究人员的复盘显示，本次攻击在手法上具有高度的专业性，并将其归因于朝鲜黑客组织 Lazarus Group。尽管事件发生后，部分被盗资金在多方协作下被冻结，但仍有大量资金在链上持续流转。此次事件不仅是 Kelp DAO 的单一损失，更引发了 DeFi 市场的剧烈震荡，在风险暴露后的短短两天内，DeFi 总锁仓价值（TVL）下跌逾 130 亿美元。这一数据不仅反映了资金的直接流失，更揭示了市场对再质押资产以及跨链协议系统性风险的深度恐慌。

TVL 数日蒸发百亿：机构信心被重击

Kelp DAO 与 Drift 连续遭遇重创，直接引发了 DeFi 市场的流动性大撤退。据 AiCoin 数据显示，在 Kelp DAO 事件发生后的短短两天内，DeFi 总锁仓价值（TVL）骤降逾 130 亿美元。摩根大通在 4 月 24 日发布的最新报告中进一步指出，受 Kelp DAO 跨链桥攻击等事件影响，DeFi TVL 在数日内实际蒸发了约 200 亿美元。这种剧烈的资金流出，与长期以来以 ETH 计价的 DeFi TVL 横盘走势形成了鲜明对比。摩根大通分析师强调，这种长期的增长停滞叠加近期频发的安全漏洞，正成为机构投资者进入 DeFi 领域的关键阻碍，严重压制了主流资本的参与热情。

面对系统性风险的蔓延，行业内部开始尝试通过风险共担机制进行自救。在 Kelp DAO 风险暴露后，一个名为「DeFi United」的协调倡议迅速达成，目前已募集超过 3 亿美元资金，旨在为受影响的协议和市场提供必要的流动性支持以稳定局面。这被视为行业在缺乏外部救助环境下，试图通过内部协作消化坏账、对冲系统性脆弱的一次重要尝试。

与此同时，链上资金的避险情绪在安全事件后显著升温。据链上数据显示，每当安全事件爆发，用户普遍倾向于将风险资产兑换为 USDT 以规避波动。然而，这种资金流向目前仅表现为存量资产的结构性调整，并未显著推高 USDT 的整体市值。这种现象体现了当前市场参与者的风险偏好已发生根本性转变：资金不再追求跨链或再质押带来的超额收益，而是优先选择在链上持币观望。这种“防御性调仓”而非“全面撤离”的特征，也侧面证实了投资者对现有 DeFi 安全防御体系的极度不信任。

跨链项目紧急刹车：Morpho 先停再说

4 月 19 日，在 Kelp DAO 遭遇攻击并导致 LayerZero 跨链桥安全风险暴露后不久，借贷协议 Morpho 迅速作出反应。据相关公告显示，Morpho Association 已正式暂停 Arbitrum 网络上 MORPHO 代币的 OFT（Omnichain Fungible Token）跨链桥功能。这一决策的直接诱因是 Kelp DAO 事件中暴露出的底层架构漏洞：该协议通过 LayerZero 实现跨链通信时采用了脆弱的 1-of-1 验证器配置。攻击者正是利用这一单点故障，攻陷了跨链桥依赖的 RPC 节点并篡改数据，导致 116,500 枚 rsETH 被非法释放，这一数额约占 rsETH 当时流通供应量的 18%。

Morpho 的这一“紧急刹车”体现了当前 DeFi 核心协议在极端风险环境下的高度警觉。据其官方表述，Arbitrum 跨链功能将持续处于暂停状态，直至 rsETH 事件的根本原因得到完全确认。这种宁愿牺牲跨链便利性也要优先控制潜在攻击面的做法，反映出市场风险偏好的显著收缩。在三周内损失超 6 亿美元的惨痛背景下，协议方不再盲目信任基础设施的“默认安全性”，而是转而采取更为审慎的防御姿态，通过主动切断与受损生态或高风险组件的连接，防止风险通过跨链消息传输进一步蔓延至核心资产。

这种“防御性停摆”正在引发连锁反应，迫使大量依赖第三方基础设施和跨链通信协议的项目进入深度的自查与收缩期。对于 Morpho 而言，Kelp DAO 事件不仅是单一协议的损失，更是对再质押资产（LRT）与跨链桥组合安全性的系统性拷问。随着行业意识到 1-of-1 验证等配置带来的单点风险，预计会有更多项目在短期内重新审视其跨链版图，或通过增加时间锁、强化多签治理等手段进行补救。这种从追求极致互操作性转向追求确定性的趋势，标志着 DeFi 行业在经历剧烈冲击后，正试图通过牺牲一部分流动性效率来换取更稳固的安全边界。

从个案到系统：DeFi 风险定价重写

综合 Drift 与 Kelp DAO 两起核心事件来看，DeFi 的安全威胁已不再局限于单一的代码逻辑漏洞。在短短不到三周的时间里，至少 12 个协议接连被盗，累计损失超过 6.06 亿美元，这种高度密集的攻击频率配合国家级攻击者的介入，将风险从合约层推向了更复杂的治理多签、跨链桥验证设计以及外围基础设施。Drift 事件揭示了社交工程与预签名流程结合后的隐蔽破坏力，而 Kelp DAO 的 1-of-1 验证配置则暴露了协议对单一 RPC 节点的过度依赖。当被盗的 rsETH 迅速流入 Aave、Compound 等核心借贷协议并转化为数亿美元坏账时，DeFi 的系统性脆弱已演变为一场跨协议的信用危机。

这种脆弱性正直接重塑市场对 DeFi 的定价逻辑。据 AiCoin 数据显示，Kelp DAO 事件发生后两天内，DeFi 总锁仓价值（TVL）骤降逾 130 亿美元，这种短期剧震与以 ETH 计价的 TVL 长期横盘态势叠加，进一步抑制了机构资金的入场意愿。尽管行业已发起「DeFi United」协调倡议，并募集逾 3 亿美元用于稳定市场，体现了头部协议的自救能力，但投资者对风险的认知已发生根本性偏移。后续市场将重点转向治理多签的冗余度、跨链桥的验证模式，以及再质押资产在借贷协议中的风险隔离。在缺乏更多链上量化指标支撑的情况下，当前这一系列安全信号应被视为 DeFi 风险再定价的起点，而非情绪波动的终点。

加入我们的社区，一起来讨论，一起变得更强吧！
官方电报（Telegram）社群：https://t.me/aicoincn
AiCoin中文推特：https://x.com/AiCoinzh
AiCoin链上：https://aicoin.com/hyperliquid
AiCoin专属Hyperliquid福利：https://app.hyperliquid.xyz/join/AICOIN88
AiCoin专属Aster福利：https://www.asterdex.com/zh-CN/referral/9C50e2

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。