撰文：GoMoon

2026 年开年最大的 DeFi 黑客事件来了！4 月 18 号，Kelp DAO 的流动性再质押协议遭了殃，短短几小时被黑客抽走 116500 枚 rsETH，按当时价算足足 2.93 亿美元。

经安全研究员核查，Kelp DAO 的智能合约代码没漏洞，这 2.93 亿美元的损失，根本不是代码出问题，而是藏在个没人在意的「配置参数」里，堪称年度最大安全教训！

黑客咋操作的？

这次攻击流程丝滑得反常，黑客全程就分了三步：

1. 钻配置空子伪造消息：Kelp DAO 用的 LayerZero 跨链桥，有个关键配置叫 DVN 阈值，它选了「1-of-1」——也就是只需要 1 个验证节点确认跨链消息就行。黑客直接攻破这唯一节点，伪造了假消息，骗以太坊主网铸造了没实际资产背书的 rsETH

2. 抵押套现借真金白银：拿着这批假的 rsETH，黑客分散抵押到 Aave V3、Compound V3、Euler 三个借贷协议里，一口气借出了超 2.36 亿美元的 WETH（真金白银的稳定币）

3. 火速撤场锁死市场：当天黑客就带着 2.36 亿美元 WETH 溜之大吉，留下一地鸡毛。Aave、SparkLend 这些平台赶紧冻结 rsETH 市场，可 Aave V3 alone 就面临约 1.77 亿美元的坏账，最后这笔亏空，还是得由质押 aWETH 的用户来承担。

这次最该警醒的，不是黑客手段多高明，而是暴露了 DeFi 安全行业的「结构性盲区」——配置层漏洞，现有工具根本检测不到！

咱们平时都知道，DeFi 项目都要做代码审计，用 Slither、Mythril 这些工具扫代码，找重入攻击、整数溢出这些问题。可 Kelp DAO 的问题不在代码里，而在部署项目时填的那个 DVN 配置参数！

这个参数不进.sol 代码文件，Slither、Mythril 扫不到，现有的 LLM 辅助审计也管不着。据相关研究，现有代码审计工具最多只能检测 8%-20%的可利用漏洞，而且前提是「漏洞在代码里」。

配置类漏洞已经成了 DeFi 安全的「隐形杀手」！2022 年 Nomad 跨链桥就是因为部署时初始化错误，被盗了 1.9 亿美元；这次 Kelp DAO 是主动选了「1-of-1」的危险配置，同样栽了跟头。两类配置漏洞加起来，已经造成约 4.82 亿美元损失，和密钥泄露类漏洞的损失规模不相上下！

可现在整个行业都在盯着代码逻辑漏洞，训练审计工具、优化检测模型，没人专门去管配置问题。就像这次，「1-of-1」的配置完全符合 LayerZero 的规则，不算违规，可就是这个「合规选择」，直接导致了致命风险。

DeFi 安全从来不是「代码无漏洞」就万事大吉，那些藏在配置里、运营里的小细节，才是最该警惕的暗礁。希望这次的教训，能让整个行业都醒醒，别再让 2.93 亿的悲剧重演！

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。