今年 4 月 18 日,以太坊流動性再質押協議 Kelp DAO 遭遇毀滅性打擊,損失高達 2.92 億美元(約 116,500 枚 rsETH),成為 2026 年迄今為止加密市場規模最大的 DeFi 駭客事件。如今,隨著跨協議救援行動的展開,受災戶終於迎來了具體的補償曙光。
Lido Finance 近日於社群平台發布了關於 Kelp 事件的後續處理更新,宣布將透過動用 DAO 的儲備資金,確保受波及的 EarnETH 用戶獲得 100% 的全額保障。
Update on Ongoing Kelp Incident
– EarnETH first-loss protection coverage below 1% threshold has been approved
– stETH transferred to DeFi United relief initiative
– Attackers rsETH has been liquidated
– EarnETH vault operations to resume as soon as Kelp protocol is unpaused↓
— Lido (@LidoFinance) May 7, 2026
啟動第一損失保障,用戶獲全額賠償
受 Kelp 駭客事件連鎖反應影響,Lido 旗下的收益型產品 EarnETH 金庫因持有約 9% 的 rsETH 曝險(初期估計約 2,160 萬美元),在事發當下緊急暫停了存取款功能。為了安撫投資人,Lido 迅速做出了補償承諾。
根據 Lido 最新的 Snapshot 投票結果,授權 EarnETH 在 1% 門檻以下的 「第一損失保障機制(First-Loss Protection)」已正式生效。Lido 官方明確表示,EarnETH 使用者的損失將由該機制全額吸收與保障,用戶僅需度過一小段解凍等待期,即可拿回屬於自己的資產。
駭客部位遭清算,Lido 捐 2500 枚 stETH 參與救濟
除了照顧自家用戶,Lido 也積極參與了 DeFi 生態的災後重建。面對假 rsETH 充斥市場所造成的系統性壞帳,由借貸巨頭 Aave 主導、多個協議響應的 「DeFi United」救濟計畫應運而生。
Lido 在公告中證實,上週已成功將高達 2,500 枚 stETH轉移至 DeFi United 的救濟工具中,用於填補 rsETH 的抵押缺口。同時,Lido 帶來了另一個振奮人心的好消息:
「依照 Aave 的恢復計劃,攻擊者在 Aave 上(包含 Ethereum 與 Arbitrum 網路)的 rsETH 部位已全數完成清算,清算後的抵押品現由 Recovery Guardian 安全持有。」
回顧 2.9 億美元駭客案:北韓 Lazarus 的跨鏈偽造術
這起震驚全網的駭客事件,據信是出自惡名昭彰的北韓駭客集團 Lazarus 之手。其攻擊手法極度狡猾,並非利用傳統的智能合約漏洞,而是針對 LayerZero 跨鏈橋的底層架構進行操縱:
偽造跨鏈訊息: 攻擊者透過操縱 RPC 節點,向 Kelp 的橋接合約發送了偽造的「銷毀(burn)」跨鏈操作證明。
無中生有印鈔: 這導致合約誤以為資金已在另一條鏈上被銷毀,從而在以太坊主網上「憑空鑄造」出超過 11 萬枚完全沒有底層資產抵押的假 rsETH。
掏空真實資產: 駭客隨即將這些假 rsETH 作為抵押品,存入 Aave 等借貸平台,大舉借出並掏空了真實的 WETH 流動性。
核心質押不受影響,Earn 金庫即將解凍
Lido 官方在事件發生初即已澄清,此次受影響的僅限於採用特定策略的 Earn 產品,Lido 最核心的 stETH / wstETH 質押協議完全不受任何影響,資金絕對安全。
Lido 最後在更新中表示,儘管存取款被暫停,但 EarnETH 與 EarnUSD 金庫在此期間依然「持續產生收益」。隨著 DeFi United 救濟基金填補了大部分缺口,EarnETH 金庫將在 Kelp 協議解除網路暫停後,第一時間恢復使用者的正常存取款操作。