过去两个月里，Thorchain、Drift、KelpDAO 等多个协议接连被卷入依赖闪电贷机制的攻击，据单一来源称，相关事件被认为已累计造成数亿美元级别损失。闪电贷的核心在于：攻击者可以在一笔交易内无抵押借出巨额资产，串联多个协议完成复杂操作，只要在交易结束前归还本金即可，让原本需要长时间筹备的“做局”压缩到链上的几个区块。2026 年 4 月 18 日，Kelp rsETH 基于 LayerZero V2 的跨链桥在 Unichain 至以太坊链路上被攻击，攻击者通过对单一验证器实施 RPC 中毒，伪造跨链消息，使以太坊侧在 Unichain 端并未销毁 rsETH 的情况下，异常释放了 116,500 枚 rsETH。到 5 月 31 日，Aave 在事后调查中将这起风险明确指向第三方跨链桥基础设施，而非协议本身，并据单一来源称相关 rsETH 已实现全额恢复，但“闪电贷 + 跨链桥”的系统性隐患并未因此散去。在以太坊这类高度可组合的公链上，一切从智能合约到跨链桥都可能在一笔交易里被串成攻击脚本，而 XRP Ledger 则因为交易原子性强、缺乏交易内可组合调用，被认为天然不支持传统意义上的闪电贷，近期社区更提出了试图在协议层面彻底封死这类攻击路径的新技术方案，在两种截然不同的底层设计分叉处，把“要不要、能不能在底层容纳闪电贷”抬到了台面中央。

闪电贷成 DeFi 攻击标配

在支持复杂智能合约的公链上，闪电贷已经变成攻击者手里的“基础设施”。它的规则很简单：在一笔交易内，无抵押借出大额资产，只要在这笔交易结束前全额归还就算履约，中间这几十甚至几百步调用，对底层来说都只是同一笔原子交易的内部细节。正因为不需要长期占用资金、也不暴露头寸，攻击者可以在一次交易里串起借贷、做市、预言机喂价、清算、跨链等复杂操作，用临时放大的杠杆去放大每一个环节里的微小设计缺陷。

2026年4月至5月，被报道波及 Thorchain、Drift、KelpDAO 的多起安全事件中，闪电贷几乎无一例外地出现在攻击路径里，据单一来源称，这些事件整体被认为造成了数亿美元级别损失，但公开资料并没有给出逐笔精确拆分。共同点是：攻击交易往往在以太坊等高度可组合的环境中完成，调用路径跨越多个协议，闪电贷只是第一块多米诺骨牌，真正致命的是“多协议可组合 + 原子结算”的结构，让攻击脚本可以在链上一次性跑完、要么全成要么全撤，从设计上极大压缩了失败成本并放大了每一个潜在漏洞的系统性影响。

Kelp rsETH 桥被攻：验证器成弱点

4 月 18 日这起 Kelp rsETH LayerZero V2 跨链桥事件，很快被认定不是“传统意义上的合约漏洞”，而是验证层被拿下后引发的连锁反应。攻击者盯上的，是 Unichain 至以太坊这条链路背后的单一验证器：通过对该验证器实施 RPC 中毒，攻击者得以向其喂入被篡改的区块与状态视图，让验证器在“错误世界观”下正常工作。当这个被污染的验证节点对一条跨链消息盖章时，以太坊侧的合约就被说服——认为 Unichain 端已经按规则处理了 rsETH，于是直接在以太坊侧释放了 116,500 枚 rsETH，而源链实际上并未销毁对应资产。跨链消息本身看起来结构完备、签名有效，但签名背后的信任主体已经被悄悄转换成了攻击者控制的那台机器。

5 月 31 日，Aave 在事后调查中强调，这 116,500 枚 rsETH 已实现全额恢复，并将风险指向“第三方桥基础设施”，而非 Aave 自身或 LayerZero 核心协议。这种表态，一方面在技术上划清边界：借贷协议的核心逻辑按预期运行，底层消息通道的通用安全模型也未被直接突破；真正的单点，是桥接实现层选用单一验证器、并依赖其 RPC 视图的那层集成方案。另一方面，它也把这起事件放进了更大的 DeFi 安全叙事里——就算表面上是一次“跨链消息被伪造”的事故，本质依然是基础设施设计中把过多信任集中在一个节点上的后果。

XRP Ledger 天然躲过闪电贷

如果说跨链桥把风险集中在单个验证器视图上，那 XRP Ledger（XRPL）干脆在另一条维度上，把某类风险直接挡在了协议门外。据金色财经等报道，XRPL 的基础设计强调交易原子性：一笔交易就是一件事，要么全部成功，要么全部回滚，单笔交易内部无法再嵌套一串“先调用这个合约、再调用那个协议”的多步流程，也不存在类似以太坊那种在交易内任意组合多次调用的执行环境。结果就是，开发者很难在 XRPL 上拼出一笔“借钱—做事—还钱”打包完成的复杂链上剧本。

这恰好切断了传统意义上闪电贷的关键前提。以太坊等可组合公链之所以成为闪电贷攻击的重灾区，正是因为可以在同一笔交易里无抵押借出巨额资产，再串联多个协议完成交易、清算、价格操纵等多步操作，只要在交易结束前把资产还回去即可。而在 XRPL 上，缺乏这种单笔交易内多协议串联的能力，据公开信息其当前也不支持闪电贷机制，因此过去公开报道中几乎看不到依赖闪电贷实现的大规模攻击案例。从“能不能在一笔交易里做很多事”这一点出发，XRPL 用架构直接划定了自己的风险边界，也解释了为什么在同一轮 DeFi 安全风暴下，它面对的攻击面与高可组合链完全不同。

新提案登场：XRP Ledger 收紧攻击面

也正因为清楚自己靠“不能做什么”躲过了这一轮闪电贷风暴，XRP Ledger 社区在 2026 年 5 月下旬提出的新技术方案，干脆把态度写进协议：目标不是在应用层加白名单、黑名单，而是直接在底层规则里阻断闪电贷类攻击路径。据公开信息，这一提案并未披露编号、参数或推进节奏，但方向已经很明确——在“原子交易、无交易内可组合调用、天然不支持传统闪电贷”的基础上，再把任何可能被绕出“伪闪电贷”的缝隙提前封死，让攻击者在构造路径之前就被规则挡在门外。

把时间线拉长来看，这一动作与 4 月中旬 Kelp rsETH LayerZero V2 跨链桥在 Unichain 至以太坊链路上遭遇攻击、异常释放 116,500 枚 rsETH，以及 Thorchain、Drift、KelpDAO 等多起依赖闪电贷的攻击集中曝光几乎同步，被市场舆论视为对“闪电贷攻击频发”的结构性回应。以太坊阵营仍在复杂可组合架构与跨链桥压力下，通过审计、修补、事后复盘来消化风险，而 XRPL 则试图用协议层的前置约束，把整类攻击工具排除出可行空间，同样面对安全风暴，却走上了几乎相反的路线。

从以太坊到 XRPL：安全架构的分岔路

沿着这条线索往回看，可以清楚地看到两条安全路径正在分叉：以太坊系选择把创新速度和高度可组合性放在首位，让复杂智能合约与跨链桥去承载新业务，代价是像 4 月 18 日 Kelp rsETH LayerZero V2 跨链桥这样的事件，会把单一验证器被 RPC 中毒、跨链消息被伪造这种底层失误，放大成 116,500 枚 rsETH 异常释放的系统性事故；Aave 在 5 月 31 日的复盘中强调问题出在第三方桥接基础设施，而非借贷协议本身，本意是为核心协议“正名”，但从系统视角看，也等于承认桥协议已经站在整条 DeFi 链条的系统性风险中心。与之相对，XRP Ledger 选择在一开始就用原子交易和受限可组合性压缩攻击面，在天然不支持单笔交易内多步调用与闪电贷的前提下，进一步尝试通过新提案把“防闪电贷”的约束写进底层规则，换取的是潜在的应用形态受限与扩展节奏放缓。未来值得观察的，是：其一，XRPL 这套新方案能否在社区博弈与技术落地中真正定案；其二，其他公链是否愿意跟进在协议层限权、而不是事后修补；其三，在 Kelp rsETH 事件一类案例持续发酵的压力下，跨链桥的安全范式会否被迫重塑，进化出一套能与底层“限权链”相匹配的新架构，这些变量将决定下一阶段的公链安全竞争是继续叠加复杂度，还是转向在底层就对攻击工具进行结构性封杀。

加入我们的社区，一起来讨论，一起变得更强吧！
链上电报（Telegram）社群：https://t.me/AiCoinWhaleData
链上社区：https://www.aicoin.com/link/chat?cid=N6OVMor5g
AiCoin链上推特：https://x.com/aicoinwhaledata
AiCoin专属Hyperliquid福利：https://app.hyperliquid.xyz/join/AICOIN88
AiCoin专属Aster福利：https://www.asterdex.com/zh-CN/referral/9C50e2

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。