Kelp DAO 的 rsETH 跨链桥被攻击，损失116,500 枚 rsETH。 先列一下受影响的币种。 $KERNEL是Kelp DAO 的代币暂时放在第一。 -坏账主要影响 $AAVE、 $EUL 、 $COMP，对 $AAVE 影响最大。 -LayerZero的安全模型可能有系统性问题， $ZRO 和 $KERNEL 并列为问题协议。 -同属于LSDfi赛道的 $EIGEN 。 - $LDO和 $FLUID 有待观察。 攻击者盗取了2.9亿美金的rsETH，存入借贷协议并借出2.36 亿美元 WETH，其中Aave V3 可能面临接近1.77 亿美元的坏账。 下面详细说一下： rsETH 的优势之一是全链流通，部署在十几个网络上，而为了实现这一点，Kelp 采用了一个统一的跨链记账系统。黑客在北京时间 2026年4月19日凌晨对Kelp记账系统的验证环节发起第一次攻击，卷走了约 11.65 万枚 rsETH，占了总流通量的 18%。 Kelp 随后紧急暂停合约，所有网络上的 rsETH 瞬间失去了底层的资产支撑。 黑客拿到这些已经没有实际价值的 rsETH 后，存进了 Aave、Compound 等主流借贷协议里，借出了超过 2.36 亿美元的$ETH，成功将假钞套现。 黑客套现后，留在 Aave 账上的是接近 1.77 亿美元的坏账，而Kelp 自身的安全风险，就这样成功转移给了整个借贷市场。 这还没完，由于Aave存在一个叫Umbrella 的坏账覆盖机制。 用户把自己的资产（比如 $WETH）质押进Umbrella，可以赚取额外利息，代价自然是一当协议出现坏账时，这些质押的钱就会被系统自动扣除来填补窟窿。 这也就意味着，为黑客买单的其实还是那些在 Aave 里为了赚取微薄利息而提供资金的无辜质押者，理论上AAVE也十分丝滑的把尾部风险转嫁给了追求收益的散户头上。 最讽刺的是，Kelp上的年化收益只维持在2%到3%之间，用户为了这一点点收益替一众项目方（EigenLayer到Kelp再到AAVE）承担了极不对等的成本风险。