Kelp DAO 昨天被黑客通过 LayerZero 跨链桥恶意无锚增发了 2 亿美金以太坊 Staking 代币。 因为 $rsETH 是多链资产，所以黑客欺骗了跨链桥，伪造出“在其他链上已经存入资产”的假象（当然实际上他没存），利用漏洞恶意在 ETH 主网上增发了 116,500 个 rsETH。 然后，黑客把这些无锚代币存进了各种借贷协议里，例如 Aave 和 Morpho，最终借走了真正的以太坊 $ETH 。 所以这件事情现在比较尴尬的一点是：Aave 责任最小，却承担了最大的损失🤦。 尽管尚不明确 Kelp 和 LayerZero 究竟谁的责任更大，但根据 LayerZero 过往的口碑来看，大概率是 Kelp 项目方这边的责任大概率更大一些（并非指控，仅为推测）。 与此同时，对于项目方而言，他们底层的以太坊，也就是 Staked ETH，并没有被黑客直接偷走或换走。 所以项目这个责任更大的一方，反而承受了更小的财务损失。 而且这个 KelpDAO，确切地说，是 Kernel 协议下面的一个子产品。 Kernel 这个协议，目前 $Kernel 尽管上了币安，市值也就 2,200 万美元左右，看起来完全不像赔得起的样子🥲。 而且 Kernel 项目方之前就出过漏洞。 2025 年时，rsETH 就曾被天量增发过一次，但幸好上一次没有造成实际损失。 我有一句名言：一个 DeFi 项目出过一次问题，那它大概率还会出第二次、第三次、第四次问题。 对于 Aave 来说，它过去几乎没有出过什么问题。 而且显然，项目方和 LayerZero 大概率既不愿意掏钱，也未必掏得出钱。 因此尽管这一次同样责任最小，但苦果却落在 AAVE 身上。 这其实就是一种公地悲剧。 万幸的是，Aave 有一个 Umbrella 池。你可以把它理解成一个保险池。 不过，它里面承保的资产是彼此分隔的。 而这次黑客借走的资产几乎全是 WETH。针对 WETH 的保险池，目前大概也就 5,600 万美元左右；和实际大约 2 亿+美元 的亏损相比，仍然有较大差距。 事实上，Aave 的 Umbrella 池 也从未赔付过。因为自从 Aave 上线Umbrella 以来，还从未发生过需要它出险的安全事故。 所以这一次，Aave 可能还是要靠自己的营收慢慢扛。 有些人造谣说 Aave 有很大风险，但我认为 Aave 是能扛住这次损失的。虽然会非常肉痛，但应该还是扛得住。 ---分割线--- 我现在有两个感受： 第一个感受：我对跨链 DeFi 产生了前所未有的失望。 我认为跨链只能走官方桥，不能走第三方桥。这个领域太容易出问题了。 甚至我觉得，大额跨链都应该引入人工审核机制。比如说，10w 美金以下自动处理，超过 10w 美金就必须进入人工审核。 第二个感受是：在 DeFi 这个巨大的套娃里，责任与风险，其实并不对等。最吊诡的是，责任最大、闯祸最多的人，往往没有承担对应的财务损失。 目前钱还没进龙卷风，希望这件事最终能得到妥善解决吧。