硬件钱包Ledger直言2026恐成DeFi最糟黑客年！Curve揭开Kelp跨链桥攻击事件背后的架构脆弱性

币圈子(120BTC.COm)讯：周末的46分钟，2.92亿美元从DeFi生态消失。攻击者没有爆破任何智能合约——他只是伪造了一个签名。

Ledger技术长Charles Guillemet与Curve Finance创办人Michael Egorov，两人的分析指向同一个核心问题：当DeFi的跨链安全依赖「单一签名者」，整个体系的信任就建立在沙上。

攻击机制：单签架构成致命破口

Guillemet解释，Kelp的LayerZero跨链桥元件采用「单签(single-signer)」验证架构，只需一个实体签名就能批准跨链交易。他指出：「攻击者似乎成功签出了一条讯息，让他得以在目标链上大量铸造rsETH。」

这批凭空铸造、毫无资产支撑的rsETH，接下来被攻击者当成真实抵押品存入Aave，换取真实的ETH——一口气抽干协议流动性。Egorov在采访中描述这个局面：「Aave手上剩下无法出售的rsETH，而ETH已被借光，没有人能提领。」

Guillemet强调，攻击者究竟如何取得签名许可权，目前仍不明朗——「验证节点是被入侵？还是被欺骗？我们还不知道。」但他明确排除了指令码小子的可能性：「这绝对不是什么指令码小子(script kiddies)的手笔，」他说，「攻击的规模和精密程度说明对方是高明的行为者。」

时间线：46分钟的抢夺战

攻击者在UTC时间18:21前的46分钟内完成初波窃取，共卷走约116,500枚rsETH，约占rsETH总流通量的18%。Kelp紧急多签在18:21冻结核心合约，随后攻击者在18:26和18:28两度尝试再度出手——每次目标约4万枚rsETH(相当于约1亿美元)——均告失手。

损伤同步蔓延至Aave：TVL从4月18日的264亿美元，在周日美国早盘跌至约200亿美元，单日蒸发逾60亿。AAVE代币单日跌幅达15%至16%。Aave创办人Stani Kulechov强调，攻击源头是外部的，Aave合约本身未被攻破，但协议仍紧急冻结V3和V4上的rsETH市场以防止进一步损失。

Egorov的警告：非隔离借贷把区域性危机放大为系统性崩塌

Curve Finance创办人Egorov在采访中直言不讳，批评问题早在rsETH被列入借贷市场时就埋下：「只要信任单一方——不管那是谁——事情就会发生，」他说。

Egorov进一步指出，非隔离式借贷模型(non-isolated lending)是这次损失放大的关键。当一个新资产出现问题，不隔离的设计让风险直接传染到整个借贷池，形成类似银行挤兑的连锁反应——存款人争相提领、流动性瞬间干涸。他认为，1-of-1验证架构理应在rsETH上架借贷平台的审查阶段就被标记出来。

「这是加密世界的严酷环境，任何银行都不可能撑过这种冲击——但我们就是在这样的环境里工作，」Egorov说，「我认为DeFi会从这次事件中学习，变得比以前更强韧。」

2026：DeFi最糟黑客年的警钟

Guillemet在采访中给出了更宏观的评估。他指出，此类事件持续侵蚀外界对DeFi协议的信任：「整体而言，这种事件正在侵蚀社群对DeFi协议的信心。」他更直接预警：「2026年极有可能再度成为黑客攻击最严重的一年。」

从数字来看，这个警告并非危言耸听。就在Kelp事件爆发前两周，Solana生态的Drift协议才刚发生2.85亿美元黑客事件；Kelp的2.92亿，让它超越Drift，成为2026年迄今规模最大的DeFi安全事件。而整个DeFi生态的TVL目前约为900亿美元，两起事件合计卷走逾5亿美元，占比超过0.5%。

Guillemet和Egorov的剖析，从不同角度指向相同的结构性教训：跨链桥的单点信任假设，与开放式借贷协议对新资产的把关不足，是这次危机的双重根源。在DeFi总规模突破千亿之前，这两个缺口是否能被填补，将决定下一波损失的量级。