今年Defi最大的盗币事件来了 2.93亿美金

2026年开年最大的DeFi黑客事件来了！4月18号，Kelp DAO的流动性再质押协议遭了殃，短短几小时被黑客抽走116500枚rsETH，按当时价算足足2.93亿美元。

经安全研究员核查，Kelp DAO的智能合约代码没漏洞，这2.93亿美元的损失，根本不是代码出问题，而是藏在个没人在意的“配置参数”里，堪称年度最大安全教训！

黑客咋操作的？

这次攻击流程丝滑得反常，黑客全程就分了三步：

1. 钻配置空子伪造消息：Kelp DAO用的LayerZero跨链桥，有个关键配置叫DVN阈值，它选了“1-of-1”——也就是只需要1个验证节点确认跨链消息就行。黑客直接攻破这唯一节点，伪造了假消息，骗以太坊主网铸造了没实际资产背书的rsETH

2. 抵押套现借真金白银：拿着这批假的rsETH，黑客分散抵押到Aave V3、Compound V3、Euler三个借贷协议里，一口气借出了超2.36亿美元的WETH（真金白银的稳定币）

3. 火速撤场锁死市场：当天黑客就带着2.36亿美元WETH溜之大吉，留下一地鸡毛。Aave、SparkLend这些平台赶紧冻结rsETH市场，可Aave V3 alone就面临约1.77亿美元的坏账，最后这笔亏空，还是得由质押aWETH的用户来承担。

这次最该警醒的，不是黑客手段多高明，而是暴露了DeFi安全行业的“结构性盲区”——配置层漏洞，现有工具根本检测不到！

咱们平时都知道，DeFi项目都要做代码审计，用Slither、Mythril这些工具扫代码，找重入攻击、整数溢出这些问题。可Kelp DAO的问题不在代码里，而在部署项目时填的那个DVN配置参数！

这个参数不进.sol代码文件，Slither、Mythril扫不到，现有的LLM辅助审计也管不着。据相关研究，现有代码审计工具最多只能检测8%-20%的可利用漏洞，而且前提是“漏洞在代码里”。

配置类漏洞已经成了DeFi安全的“隐形杀手”！2022年Nomad跨链桥就是因为部署时初始化错误，被盗了1.9亿美元；这次Kelp DAO是主动选了“1-of-1”的危险配置，同样栽了跟头。两类配置漏洞加起来，已经造成约4.82亿美元损失，和密钥泄露类漏洞的损失规模不相上下！

可现在整个行业都在盯着代码逻辑漏洞，训练审计工具、优化检测模型，没人专门去管配置问题。就像这次，“1-of-1”的配置完全符合LayerZero的规则，不算违规，可就是这个“合规选择”，直接导致了致命风险。

DeFi安全从来不是“代码无漏洞”就万事大吉，那些藏在配置里、运营里的小细节，才是最该警惕的暗礁。希望这次的教训，能让整个行业都醒醒，别再让2.93亿的悲剧重演！