KelpDAO 被駭 2.9 億美元:DeFi 不是被駭了,是被自己拆穿了

KelpDAO 是 Ethereum 上的 liquid restaking 協議,4 月 19 日被駭 2.9 億美元(Sherwood News, 2026/4/20),是 2026 年至今最大的單一 DeFi 攻擊。但這只是觸發器。真正的故事是:Aave 在這 48 小時內沒有被駭,但 TVL 從 264 億跌到 179 億,蒸發 84.5 億美元(CoinDesk, 2026/4/19)。為什麼一個沒被駭的協議會流失將近三分之一的存款?

因為大家終於發現,liquid restaking token(LRT)的抵押鏈條,比 2022 年的 Terra-Luna 還長。

我說清楚這個結構:你把 ETH 存進 Lido 拿到 stETH,再把 stETH 存進 KelpDAO 拿到 rsETH(這叫 restaking),再把 rsETH 存進 Pendle 切割成 YT 和 PT,再把 YT 存進 Aave 借出 USDC,再用 USDC 去買其他 LRT。一個 ETH 的抵押被計算了五次。當 KelpDAO 那一層斷掉,整條鏈上下游同時去槓桿——這不是駭客造成的,是金融工程造成的。

被駭的 2.9 億美元,初步歸因指向北韓的 Lazarus Group。這個資訊在主流媒體只被當作背景。但要問:為什麼 Lazarus 這幾年的目標越來越精準地落在 LRT 和橋接協議?答案是,這些協議是 DeFi 裡資金最密集、權限最集中、審計最薄弱的環節。所謂「去中心化金融」,在 LRT 這一層其實有一個非常中心化的 multi-sig 控制人——通常 5 個人持有 3 個 key 就能改變協議參數。Lazarus 不需要打穿區塊鏈,只需要釣到其中兩個 key 持有人的 email。

我們應該停止用「DeFi 安全事件」這個詞。這次不是安全事件,是商業模式問題。LRT 的本質是把「同一份抵押品的風險,賣給不同需求的買家」——這在傳統金融叫 CDO,2008 年炸過一次。當我們以為 Ethereum 上跑的是新東西,其實只是把次貸結構搬上鏈,多加了一層自動清算合約。

去中心化的價值,從來不是「沒人控制」。是「控制權公開可驗證」。但 LRT 把控制權埋進五層協議的合約權限裡,普通用戶根本看不到風險敞口——這比中心化交易所更不透明,因為至少 Binance 還會出 Proof of Reserves。

40 多個 DeFi 協議在 2026 年前五個月關閉,YTD 被駭金額超過 7.7 億美元,4 月單月就有 28 至 30 起獨立攻擊事件(Phemex, 2026/5)。這不是熊市清洗的尾聲,是 LRT 槓桿堆疊架構的拆解。Vitalik 兩年前就警告過 restaking 的「social slashing」風險——市場聽見了,沒當真。

真正去中心化的路徑不是停止創新,是放慢重新質押的層數。每多疊一層 LRT,就多一個 multi-sig,就多一個 Lazarus 可以攻擊的窗口。Ethereum 的 staking 不需要被 financialized 到第五層才能產生 yield,4% 的原生收益已經夠了——但只要 DeFi 還是一場 yield-chasing 競賽,就沒有人會停。

KelpDAO 不是被駭了,是被自己的金融工程拆穿了。

下一個爆點會落在哪裡?我傾向是 Pendle 的 YT 市場,或是 EigenLayer 的 AVS 經濟。但這次崩塌至少給市場一個機會:看清楚 LRT 的真正風險敞口是金融結構,不是程式碼。

如果這篇分析對你有幫助,歡迎用 LikeCoin 支持獨立評論。每一個拍手都讓這類內容繼續存在。