KelpDAO 桥梁们遭黑客攻击，引发2.92亿美元的DeFi危机，孙宇晨呼吁谈判

在2026年4月18日，KelpDAO 的流动再抵押协议在今年遭遇的最大 DeFi 攻击中，攻击者从其由 LayerZero 驱动的桥中窃取了约 116,500 rsETH，市值约 2.92 亿美元。LayerZero Labs 指出此次攻击来自朝鲜 Lazarus 组织子组“TraderTraitor”，并将 KelpDAO 的单一验证器桥配置确认为根本原因，导致被入侵的 RPC 节点能够伪造有效的跨链消息。攻击者在执行前大约十小时通过 Tornado Cash 预先为钱包注资，然后利用验证器设置触发未授权的资金释放。LayerZero 的调查显示，其去中心化验证网络（DVN）中的三个节点中有两个被污染，导致系统转向被妥协的节点。一个经过充分加强的多验证器配置应要求独立 DVN 之间达成共识，从而防止此次漏洞。LayerZero 此后拒绝为未来的 1 对 1 DVN 设置签名消息。事件发生后，被盗的 rsETH 作为抵押存入 Aave V3，产生了超过 2.36 亿美元的坏账，集中在 rsETH-WETH 交易对。Aave 的 Umbrella 储备被动用来覆盖赤字，SparkLend、Fluid、Lido Finance 和 Ethena 等借贷平台也被强制冻结。Aave 的总锁定价值（TVL）从 264 亿美元下降到接近 200 亿美元，凸显了跨链互操作性漏洞的系统性影响。Tron 创始人孙宇晨因暴露于 Aave 的头寸，事先撤出约 65,584 ETH（约 1.54 亿美元）以减轻个人损失，然后在 X 平台直接向黑客求和以谈判。孙宇晨警告称，继续不合作可能使 KelpDAO 和 Aave 双双陷入困境，呼吁归还被盗资金以维持 DeFi 稳定。行业领袖强调需要更强的跨链桥安全标准，并采用冗余配置以防御国家级威胁行动者。此事件重新点燃了对严格的集成审计、实时监控和去中心化验证框架以保障跨链基础设施安全的呼声。随着四月的总黑客损失现已超过 6.06 亿美元，协议团队和安全公司正加速实施防御措施，以防止未来发生更多知名攻击。