Note: 本期内参共约8000字,阅读需约10分钟。过去一周,加密市场经历剧烈震动:KelpDAO遭2.9亿美元攻击引发DeFi连锁反应,超54亿美元资产从Aave紧急撤离;与此同时,Strategy与Bitmine却以年内最大力度增持BTC与ETH,大资金逆势布局。这场危机暴露出跨链安全的深层隐患,也加速了DeFi资金的重组与洗牌。
一、KelpDAO事件引爆DeFi信任危机
4月19日凌晨,以太坊流动性再质押协议KelpDAO遭到漏洞攻击,被凭空铸造11.65万枚rsETH,损失约2.93亿美元。黑客通过伪造跨链消息诱使LayerZero EndpointV2合约的lzReceive函数释放桥内储备,随后将大部分rsETH存入Aave作为抵押借出ETH,少部分直接出售换成ETH,共获取106,466枚ETH,约2.5亿美元。这一事件已超过Drift Protocol的2.85亿美元被盗案,成为2026年迄今最大的DeFi黑客事件。[1]
攻击发生后,出于避险目的,超过54亿美元资产从Aave紧急撤离,其中Justin Sun也取回了他在Aave上的65,584枚ETH,价值约1.54亿美元。[2]链上借贷需求迅速涌向Spark等协议,Spark上的ETH存款利率一度飙升至130%。Aave平台上的USDT借款APY也暴涨至14.99%,存款APY升至13.39%。[3]
Defillama创始人0xngmi统计显示,Aave净流出62亿美元,Morpho净流出7.16亿美元,Sky净流出2.72亿美元,整个DeFi TVL因此蒸发近100亿美元。他在X平台上直言,这类事件里没人是赢家,只会让整个行业的蛋糕缩小,所有人都受损。[4]
二、安全漏洞根源:LayerZero单点配置成罪魁祸首
LayerZero Labs随后发布攻击事件说明,初步判断攻击者为朝鲜背景的Lazarus Group。攻击通过投毒KelpDAO去中心化验证网络依赖的下游RPC基础设施实现,攻击者控制部分RPC节点并配合DDoS攻击,诱导系统切换至恶意节点,从而伪造跨链交易。[5]
LayerZero强调,此次事件仅限于KelpDAO的rsETH应用配置,未对其他资产或应用造成影响。原因在于KelpDAO当时采用了单一DVN架构,即1-of-1配置,未使用官方长期建议的多DVN冗余机制,导致缺乏独立验证节点来识别伪造消息。LayerZero表示将推动所有采用单DVN配置的项目尽快迁移至多DVN架构,并已暂停为1-of-1配置应用提供签名与验证服务。
然而,Dune对过去90天内LayerZero上所有活跃OApp的DVN安全配置进行统计后发现,在约2665个独立合约中,约47%仍采用最低安全级别的1-of-1 DVN配置,45%采用2-of-2配置,仅约5%为3-of-3或更高配置。这一数据凸显出当前跨链应用在安全冗余设计上的普遍不足。[6]
与此同时,KelpDAO正准备将事件责任归咎于LayerZero,称其在设置跨链桥时依赖的是LayerZero的文档、默认配置以及团队指导。[7]Monad联创Keone Hon则发文建议,借贷协议应对作为抵押存入的资产供应量设置速率限制,认为如果有这样的机制,今天rsETH存款人本可以避免约2亿美元的损失。[8]
Curve创始人Michael Egorov呼吁行业共同制定DeFi安全标准,减少中心化单点故障,并让项目方、审计机构与风险评估团队共享最佳实践,建议可由以太坊基金会与Solana基金会协调生态参与制定安全原则与规则。[9]
三、资金大迁徙:Aave承压,Spark逆势崛起
Aave在事件发生后迅速采取措施,在所有部署中对rsETH和wrsETH市场实施紧急冻结。Aave Guardian明确表示,本次事件仅涉及rsETH资产本身,并非源于Aave协议漏洞,所有Aave资金池仍保持安全并正常运行。[10]
4月21日,Aave发布rsETH事件更新,援引LlamaRisk报告提出两种坏账处理场景。若损失统一社会化、全链分担,预计Aave坏账约1.237亿美元;若损失仅限于L2 rsETH,预计坏账约2.301亿美元。Aave DAO协议金库储备约1.81亿美元,Aave DAO服务提供商与生态系统参与者正共同领导一项努力以解决任何坏账,已获得各方多项初步承诺。[11]
资金从Aave撤离后,Spark成为主要承接方。据DefiLlama数据,Spark TVL已增加6.68亿美元,现为43.95亿美元,增幅达17%。值得注意的是,增量的26%来自于Justin Sun,公开信息显示他已向Spark存入价值1.74亿美元资产,包括1.05亿枚USDC和53,665枚ETH。Justin Sun的资金占Spark的USDC存款池近四分之一。[12][13]
四、大资金逆势抄底:Strategy与Bitmine创年内最大增持记录
在市场因KelpDAO事件陷入恐慌之际,两家上市公司却以年内最大力度逆势增持。Strategy上周以约25.4亿美元资金、约74,395美元的均价增持34,164枚BTC,这一增持力度创下自2024年11月以来的最高记录。截至4月19日,Strategy共持有815,061枚BTC,总收购成本约615.6亿美元,平均持有成本约75,527美元,当前浮亏约1.95亿美元,亏损幅度仅0.3%。[14][15]
与此同时,以太坊财库公司Bitmine上周以约2,305美元的价格购买了101,627枚ETH,价值2.34亿美元,为自2025年12月15日当周以来的最快增持速度。Bitmine目前共持有4,976,485枚ETH,成本均价3,596美元,浮亏63.9亿美元,亏损幅度达35.7%。[15]
两家公司的增持力度均创下年内最高记录,上一次Strategy如此大规模增持还要追溯到2025年8月初,当时其在7月28日至8月3日期间斥资24.6亿美元、以117,256美元的平均成本加仓买入21,021枚BTC。[16]
五、宏观与监管:美伊局势缓和带动资金回流
宏观层面,美伊局势的缓和直接影响了市场对美联储利率的预期,市场情绪由加息转为降息。现货比特币ETF上周录得约9.96亿美元净流入,创下三个月以来最强单周表现。周五单日流入达6.64亿美元,为全周最高,这也是自今年1月中旬以来最大单日流入记录。[17][18]
市场分析认为,资金回流主要源于地缘政治风险缓解,尤其是美伊局势降温及霍尔木兹海峡恢复通航,削弱了美元等传统避险资产需求,推动资金流向加密市场等风险资产。值得注意的是,虽然伊朗此前指定BTC用于支付霍尔木兹海峡的石油通行费,但知情人士表示实际大部分资金仍通过稳定币进行结算。[19]
链上数据分析师Murphy指出,BTC开始回补72,000至80,000美元区间的缺口,4月17日至18日近20万枚BTC在7.6至7.7万美元位置完成换手。有资金在此处承接是市场信心逐渐修复的体现,63,000至68,000美元筹码堆积区并未被击穿,无形中增加了该区间成为底部范围的概率。[20]
监管方面,美国《CLARITY法案》本周进入关键谈判期。以北卡罗来纳州银行家协会为代表的银行团体正针对法案中稳定币收益限制条款发起游说,呼吁修改相关内容。白宫加密委员会执行主任Patrick Witt在X平台批评银行进一步游说出于贪婪或无知。本周进程将决定法案命运,市场高度关注。[21]
六、Vitalik公布以太坊五年路线图
4月20日,2026香港Web3嘉年华首日,以太坊联合创始人Vitalik Buterin发表了题为《以太坊协议的未来走向》的主题演讲,系统阐述了以太坊未来五年的技术演进构想。Vitalik强调,以太坊的核心定位并非与高频交易平台竞速,而是致力于成为全球最安全、最去中心化且始终在线的世界计算机。[22]
在量子安全方面,Vitalik指出抗量子签名算法虽已存在二十年,但主要瓶颈在于效率。目前的抗量子签名体积高达2-3KB,链上消耗Gas约为20万,而当前签名仅需3000 Gas。解决方案将依托基于哈希的签名及格+向量化的优化方案。
Vitalik特别强调了EIP-8141账户抽象的重要性,该提案将交易重新定义为一系列调用,从而在协议层原生支持智能合约钱包、Gas费代付及更复杂的隐私协议。在更长远的时间轴上,Vitalik认为到2028年左右,ZK-EVM预计将成为验证以太坊链的主要方式,从而实现10至20秒内的单槽最终性,让手机等轻量级设备也能独立验证链上数据。
七、思考和对策
KelpDAO事件的最大警示在于,DeFi的安全信任并非建立在单点之上,而是整个技术栈的组合可靠性。LayerZero的单点配置并非新鲜事,Dune数据显示近半数应用仍在使用这种高危配置,说明行业对安全冗余的重视程度远远不够。攻击发生后,Monad联创提出的供应量速率限制是一个可能的改进方向,借贷协议理应将其纳入标准设计。
资金从Aave向Spark的大规模迁移值得关注。这并非简单的避险行为,而是DeFi流动性的一次结构性重组。Aave在这次事件中暴露出的问题是,当单一抵押资产出现问题时,整个借贷池都会受到波及。而Spark承接了这部分流出资金,TVL短期内猛增17%,显示出DeFi生态并非零和博弈,而是存在着动态平衡与重新分配的可能。
大资金的逆势布局同样耐人寻味。Strategy以74,395美元的均价买入34,164枚BTC,这个价格与其整体持仓成本75,527美元几乎持平。换句话说,Strategy是在成本价附近加仓,而非在深度浮亏时抄底。这是一种典型的仓位管理策略:在关键成本位置维持头寸规模。Bitmine的情况则截然不同,其ETH持仓浮亏高达35.7%,增持更多是为了拉低平均成本。
宏观层面,美伊局势的缓和与ETF资金的回流形成了正向反馈。但地缘政治风险并未完全消除,市场情绪仍可能反复。BTC在72k至80k区间的筹码换手是一个积极信号,但要确认底部仍需更多时间观察。
对于普通投资者而言,要关注DeFi协议的安全配置,尽量选择有多重验证机制的资金池。在借贷协议中避免使用高风险的异类资产作为抵押品;同时留意资金从Aave向Spark等协议的迁移趋势,这可能预示着借贷市场格局的变化。保持谨慎,但不必恐慌——DeFi生态的韧性往往超出预期。
免责声明:不构成任何投资建议
参考资料
[1] EmberCN, “KelpDAO遭攻击损失11.65万枚rsETH”, X平台, Apr 19, 2026. 链接
[2] EmberCN, “超54亿美元资产在黑客从Aave借出大量ETH后紧急撤离”, X平台, Apr 19, 2026. 链接
[3] MarsBit2022, “Aave平台USDT借款APY暴涨至14.99%”, X平台, Apr 19, 2026. 链接
[4] 0xngmi, “DeFi TVL因KelpDAO事件蒸发近百亿美元”, X平台, Apr 19, 2026. 链接
[5] LayerZero_Core, “LayerZero通报KelpDAO被盗事件”, X平台, Apr 20, 2026. 链接
[6] Dune, “近半LayerZero OApp仍采用易受单点攻击的高危配置”, X平台, Apr 21, 2026. 链接
[7] CoinDesk, “Kelp DAO拟将攻击事件责任归咎于LayerZero”, X平台, Apr 20, 2026. 链接
[8] Keone Hon, “Monad联创谈rsETH事件与供应量速率限制”, X平台, Apr 19, 2026. 链接
[9] Michael Egorov, “Curve创始人呼吁建立DeFi安全标准”, X平台, Apr 21, 2026. 链接
[10] Aave, “rsETH被盗事件并非源于Aave协议漏洞”, Aave Governance, Apr 19, 2026. 链接
[11] Aave, “Aave发布rsETH事件坏账处理方案”, X平台, Apr 21, 2026. 链接
[12] Ai姨, “Justin Sun已向Spark存入价值1.74亿美元资产”, X平台, Apr 21, 2026. 链接
[13] DefiLlama, “Aave事件后Spark协议TVL猛增17%”, DefiLlama, Apr 21, 2026. 链接
[14] Strategy, “Strategy上周花费25.4亿美元买入34,164枚比特币”, X平台, Apr 20, 2026. 链接
[15] EmberCN, “Strategy与Bitmine当前浮亏情况”, X平台, Apr 20, 2026. 链接
[16] 富途牛牛, “本周Strategy、Bitmine增持力度均创下年内最高记录”, 富途牛牛, Apr 20, 2026. 链接
[17] Cointelegraph, “比特币ETF昨日创1月中旬以来最大单日流入”, X平台, Apr 18, 2026. 链接
[18] Cointelegraph, “现货比特币ETF单周吸金近10亿美元”, Cointelegraph, Apr 18, 2026. 链接
[19] Cointelegraph, “比特币虽被伊朗指定作为霍尔木兹油轮通行费但实际结算仍以稳定币为主”, X平台, Apr 19, 2026. 链接
[20] Murphy, “BTC回补7.2万美元上方缺口市场信心逐渐修复”, X平台, Apr 20, 2026. 链接
[21] Crypto in America, “《CLARITY法案》本周迎关键博弈”, Crypto in America, Apr 20, 2026. 链接
[22] 富途牛牛, “Vitalik公布以太坊五年路线图”, 富途牛牛, Apr 20, 2026. 链接
👉 延伸阅读 · 交易所注册与返佣教程
如果你打算进一步参与币圈交易,这几篇常用教程可以帮你快速上手:
风险提示:加密货币交易波动较大,请根据自身风险承受能力谨慎参与。