Kelp 2920万美元爆露冲击 rsETH 质押，重燃 DeFi 借贷风险争议

Kelp’s $292M exploit 已重新点燃市场对“流动质押（liquid restaking）”与 DeFi 借贷抵押品风险的关注。据报道，攻击者通过 LayerZero 跨链桥发送伪造消息，触发对 rsETH 的铸造/释放：116,500 枚 rsETH（约等于流通量的 18%）被释放到预先资助的钱包，但另一侧没有对应的 ETH 流动。 随后，攻击者把这部分未被支撑的 rsETH 存入 Aave 作为抵押，借出真实的 WETH 并退出。虽然报道并未将 Aave 定性为“被黑”（合约未失效），但由于 rsETH 被错误地作为“与 ETH 相关”的抵押品进行白名单处理，Aave 可能因此形成约 1.96 亿美元坏账。市场反应迅速：Aave TVL 在一天内下跌约 25%（至约 200 亿美元附近）、更广泛的 DeFi TVL 约下滑 130 亿美元，AAVE 代币也据称下跌约 30%。 在 Kelp’s $292M exploit 之后，多家协议采取了止损动作。Aave 据称出现大额资金外流，并在数小时内冻结 rsETH 交易市场。SparkLend 与 Fluid 暂停了 rsETH 相关敞口；Lido 也暂停 earnETH，理由是其部分配置存在 rsETH 暴露。 后续更新进一步强调：风险外溢可能是“级联式”的，而且在真实时间里难以被精确追踪。有分析称，36 小时内 Aave 资金净流出超过 62 亿美元，原因在于协议往往难以实时梳理“收益叠加（yield stacking）”路径中跨桥、restaking 与清算机制的间接依赖关系。同一分析还质疑桥的安全设计，认为其采用 1-of-1 验证模型，可能带来单点故障风险。 对交易者而言，这次 Kelp’s $292M exploit 的关键启示是：APY 可能掩盖跨协议、跨桥的复合风险。买卖 LRT 相关头寸时，需要更关注抵押品质量、以及在流动性收缩时的退出与对冲可行性。