周六晚间，去中心化金融领域遭遇了一场史无前例的流动性危机，其导火索是KelpDAO跨链桥遭受的严重攻击。攻击者利用系统验证机制的缺陷，成功窃取了约116,500枚rsETH，按当时市值计算，涉案金额高达2.92亿美元。这一事件被认定为2026年DeFi领域最严重的单次攻击，其破坏力甚至超过了今年早些时候发生的多次安全事件，直接引发了市场对银行挤兑式恐慌的担忧。

技术层面的漏洞分析显示，攻击者发送了一条伪造消息，由于以太坊端适配器将其误判为有效指令，导致预先储备的rsETH被释放。该交易路径被配置为无二级验证器的去中心化验证网络，致使异常交易未能被及时拦截。链上分析师Banteng指出，这笔恶意交易的具体编号为nonce 308，于UTC时间17:35成功执行。KelpDAO在事发后迅速启动紧急多签钱包，冻结了核心合约，成功阻止了另外两笔可能导致约1亿美元rsETH进一步流失的交易尝试。

被盗资金随后通过Tornado Cash进行混币转移，极大地增加了追踪难度，使得协议方难以采取即时止损措施。然而，真正的系统性风险在于Aave平台的定价机制未能及时调整，仍维持rsETH的正常挂钩价格，导致平台利用被盗资产发行了106,467枚以太坊。这一操作使Aave面临高达2.36亿美元的潜在坏账风险，进而引发了投资者的大规模抛售行为，将单一协议的安全事故演变为全行业的流动性危机。

市场恐慌情绪迅速蔓延，持有大量以太坊的用户加速抛售，导致Aave平台的以太坊利用率飙升至100%，意味着所有可用资金已被借出或提取。受此影响，AAVE治理代币价格单日下跌超过18%，投资者普遍预期损失将进一步扩大。作为应对，Aave V3和V4版本中的rsETH账户已被全面冻结，相关借贷功能暂停，且不再涉及rsETH业务，以防止风险向其他模块扩散。

据DeFiLlama创始人0xngmi披露，此次事件导致整个DeFi领域市值缩水100亿美元，其中仅Aave平台就损失了60亿美元。数据显示，DeFi协议总锁仓价值（TVL）已从4月18日的约990亿美元骤降至890亿美元。此外，LayerZero等跨链基础设施也可能受到波及，因为rsETH广泛分布于各类二层网络，其价值稳定性存疑引发了对跨链资产归零的深层忧虑。

这种连锁反应揭示了rsETH在DeFi生态中的深度嵌入，它被广泛应用于借贷、保险及依赖跨链储备金的抵押策略中。一旦信任链条断裂，各协议便会立即收缩敞口以控制风险。Bitwise多策略负责人Jonathan Man表示，尽管这是行业的一次重大挫折，但也是构建更坚实金融体系的基础，呼吁各方共同努力提升系统韧性。据午方 AI监测显示，此类由单一漏洞引发的系统性挤兑现象并非孤例，往往暴露了跨链资产在流动性退出机制上的结构性脆弱。

针对未来防御，行业开始探讨如何优化借贷协议与代币发行方的风控模型，特别是针对交易量较小或被桥接资产的攻击防范。专家Hon提出，若资产流通供应量为1亿美元而法定最大供应量为3亿美元，应引入时间锁机制，使新增供应量在10分钟或数小时内逐步释放，而非一次性铸造。这种做法能有效限制攻击者在“无限铸造漏洞”下的退出途径，防止损失瞬间放大。

最终结论表明，损失规模往往不取决于代币铸造机制本身，而在于市场反应前有多少被盗资产能流入大型借贷协议等流动性出口。大型借贷平台实际上成为了主要的“泄压阀”，因为去中心化交易所的流动性不足以承接大规模冲击。因此，代币发行方需支持设定更严格的供应上限，尤其是在具备延迟赎回机制的场景下，即便不直接面临赎回压力，限制下游退出渠道也能显著降低系统性风险。