安全漏洞

KelpDAO跨链桥遭攻击损失约2.92亿美元，被盗的rsETH代币被用作抵押品注入Aave等借贷协议，引发连锁反应。本文剖析了DeFi可组合性带来的隐藏风险，以及单点故障如何演变为系统性危机。

Balancer漏洞攻击者在闲置五个月后，开始通过ThorChain将1.1亿美元ETH兑换为BTC。此次洗钱操作与KelpDAO攻击手法相似，ThorChain活动量随之飙升至年度高点。同时ThorChain宣布将添加ZCash兑换功能，进一步强化隐私叙事。

Aave遭遇重大安全事件：攻击者利用LayerZero-KelpDAO漏洞铸造虚假rsETH抵押品，借走2.92亿美元资产，引发恐慌性提款潮，Aave协议短期流出约100亿美元。

SUI区块链上的流动性质押协议Volo于2026年4月22日遭受攻击，损失约350万美元。团队承诺全额承担用户损失，并迅速冻结金库防止进一步损失。这是该协议18个月历史上首次重大安全事件，暴露了DeFi生态系统中的风险管理问题。

Volo Protocol在Sui区块链上遭受定向攻击，损失约350万美元。攻击影响了WBTC、XAUm和USDC等资产，团队已冻结所有金库操作。剩余2800万美元TVL未受影响，团队承诺承担损失并发布详细报告。

Certik分析师分析KelpDAO漏洞，揭示Lazarus Group通过Aave策略性转移风险的复杂手法。攻击者展示了高级市场流动性理解，将风险转移到借贷协议。Arbitrum安全委员会已冻结大量ETH资产。

基于Sui区块链的流动性质押协议Volo Protocol遭受攻击，损失约350万美元。攻击影响了WBTC、XAUm和USDC金库，团队已冻结50万美元被盗资产并承诺承担全部损失，不转嫁给用户。

Kelp DAO攻击者已清洗价值8000万美元的ETH，主要通过THORChain进行跨链兑换。THORChain日交易量激增至3.94亿美元，远超平时水平。Arbitrum冻结部分被盗资金促使攻击者转移剩余资产，朝鲜Lazarus Group被怀疑是此次攻击的幕后黑手。

Kelp DAO遭受2.92亿美元黑客攻击，成为今年最大DeFi安全事件。LayerZero指责Kelp的1-of-1 DVN配置存在单点故障，而Kelp反驳称这是LayerZero文档中的默认设置。攻击涉及RPC节点被入侵，双方互相推诿责任归属。