跳到主要内容

华尔街按下暂停键:为什么杰富瑞(Jefferies)认为 KelpDAO 攻击事件可能导致机构加密进程延迟 18 个月

· 阅读需 15 分钟
Dora Noda
Dora Noda
Software Engineer

2026 年 4 月 18 日,KelpDAO 每被盗走一美元,在接下来的 48 小时内,就有另外 45 美元流出 DeFi 领域。这个比例——而非 2.92 亿美元的头条新闻——在一周后摆在了银行风险官的桌上。当杰富瑞 (Jefferies) 的分析师辩称大型银行现在可能不得不重新制定其整个 2026–2027 年的区块链路线图时,他们抓住的正是这个数字。

杰富瑞于 4 月 21 日发布的这份简报并未预言代币化 (tokenization) 的终结。它预示了一些更微妙、且可以说更具破坏性的事情:全机构范围内的静默“暂停”。这是一次重新评估:哪些 DeFi 协议真正能够作为数万亿美元现实世界资产 (RWA) 产品的抵押基础设施。这也是一次清算:审计能证明什么,与协议在不断升级后实际做了什么,这两者之间存在着巨大的鸿沟。此外,这可能导致纽约梅隆银行 (BNY Mellon)、道富银行 (State Street)、高盛 (Goldman Sachs) 和汇丰银行 (HSBC) 在链上业务的雄心推迟 12 至 18 个月。

这是一个关于跨链桥漏洞、单一验证器配置错误以及 45:1 的传染比例如何重置机构时间表的故事。

2.92 亿美元资金流失剖析

严格来说,KelpDAO 事件并非智能合约黑客攻击。它是一次链下基础设施受损,利用了大多数人未曾意识到的单点故障。

KelpDAO 的 rsETH 跨链桥配置了单一验证器——LayerZero Labs DVN (去中心化验证器网络)。一个验证器,一个签名,一个瓶颈。LayerZero 随后将攻击归咎于朝鲜的拉撒路集团 (Lazarus Group),据报道,攻击者入侵了验证器确认跨链消息时所依赖的两个 RPC 节点。植入这些节点的恶意二进制文件告诉验证器,一笔欺诈交易是真实的。116,500 枚 rsETH——约 2.92 亿美元——通过 20 条链流出了跨链桥。

KelpDAO 和 LayerZero 立即开始互相指责。Kelp 认为 LayerZero 自己的快速入门指南和默认 GitHub 配置指向了 1-of-1 的 DVN 设置,并指出 LayerZero 上 40% 的协议都使用相同的配置。LayerZero 则辩称 Kelp 选择不添加第二个 DVN。这两点都是事实,但对于阅读事后分析报告的银行来说,这些都不重要。机构托管部门吸取的教训更简单:文档中看起来最安全的配置其实并不安全。

KelpDAO 确实成功暂停了合约,阻止了后续 9500 万美元的盗窃企图,而 Arbitrum 安全委员会 (Security Council) 也冻结了下游超过 30,000 枚 ETH。但真正的破坏已经转移到了技术栈的更高一层。

45:1 的传染级联反应

在跨链桥资金流失后的几小时内,攻击者开始将盗取的 rsETH 作为抵押品存入 Aave V3。他们以此进行借贷,导致 Aave 在以太坊上的 rsETH–wrapped ether 交易对中留下了约 1.96 亿美元的集中坏账。

随后发生的是大规模的反射性崩溃。Aave 的 TVL 在 48 小时内下降了约 66 亿美元。在整个 DeFi 领域,总锁仓价值 (TVL) 下降了约 140 亿美元,跌至约 850 亿美元——这是近一年来的最低水平,比 10 月份的峰值低了约 50%。这种外流大部分是杠杆头寸的平仓,而非真正的资本毁灭,但传达的信息是一样的:2.92 亿美元的盗窃导致了 132.1 亿美元的 TVL 流出。传染比例高达 45:1。

对于一个正在评估 Aave 是否能作为代币化货币市场基金抵押基础设施的托管部门来说,这个数学题是不容忽视的。“蓝筹安全性”的论点假设深度可以吸收冲击。2026 年 4 月的连环崩盘表明,在冲击降临的那一刻,深度流动性会立即逃离。

情况变得更糟:据报道,Aave 的 Umbrella 安全储备不足以弥补赤字,这增加了 stkAAVE 持有者本身承担损失的可能性。随后,该协议筹集了 1.61 亿美元的新资金来填补漏洞。对于传统金融 (TradFi) 观察者来说,这一系列过程——漏洞利用、坏账、储备缺口、紧急筹资——看起来极其像是一场步骤更多的银行挤兑。

杰富瑞真正关心的模式

杰富瑞分析师 Andrew Moss 写下这份简报并非仅因一个跨链桥。他写它是由于三周内发生的连续三起事件。

  • 2026 年 3 月 22 日 — Resolv: 攻击者入侵了 Resolv 的 AWS 密钥管理服务 (KMS) 环境,并利用协议的特权签名密钥铸造了 8000 万枚 USR 代币,提取了约 2500 万美元,导致该稳定币脱锚。
  • 2026 年 4 月 1 日 — Drift: 攻击者花了数月时间对 Drift 团队进行社交工程攻击,并利用 Solana 的“持久 Nonce (durable nonces)”功能,诱导安全委员会成员在不知情的情况下预签名交易,最终将一种毫无价值的虚假代币 (CVT) 列入抵押品白名单,并抽干了 2.85 亿美元的真实资产。
  • 2026 年 4 月 18 日 — KelpDAO: 1-of-1 验证器设置下的 RPC 节点受损,2.92 亿美元蒸发。

三个不同的协议、三条不同的区块链、三个不同的攻击面——但都有一个共同的主题:这些失败都不在审计员审查过的链上代码中。它们存在于云基础设施、链下治理流程、升级程序以及刚好处于审计边界之外的默认配置中。

杰富瑞将其定性为 2026 年的典型攻击类别:升级引入的漏洞 (upgrade-introduced vulnerabilities)。每一次常规的协议升级都会悄悄改变之前的审计基于之前代码所验证的信任假设。对于机构风险管理人员来说——他们的工作是撰写一份备忘录,说明“这足够安全,可以承载 50 亿美元的养老基金资产”——这是一个终结类别的认知。他们过去两年潜心构建的基于审计的风险框架,刚刚被告知一直在测量错误的东西。

为什么这会冲击华尔街的时间表

Jefferies 的论点并非代币化(tokenization)失败。而是代币化中依赖 DeFi 可组合性(composability)的部分被推迟了。

要理解原因,请看截至 2026 年 4 月 17 日的机构路线图:

  • BlackRock BUIDL 已增长至约 19 亿美元,部署在 Ethereum、Arbitrum、Aptos、Avalanche、Optimism、Polygon、Solana 和 BNB Chain 上。它已被 Binance 接受作为抵押品。
  • Franklin Templeton BENJI 继续扩大其以 FOBXX 为底层的链上美国国债敞口。
  • Apollo ACRED 已部署在 Plume 上,并被启用为 Morpho 上的抵押品 —— 这是一个明确的赌注,即机构信贷可以在链上进行抵押借贷。
  • 代币化美国国债已从 2026 年 1 月的 89 亿美元增长到 3 月的 110 多亿美元。代币化私募信贷突破了 120 亿美元。公共链上的 RWA 市场总额突破了 2096 亿美元,其中 61% 位于以太坊主网。

关键细节:几乎所有 有趣的 机构路线图项目 —— 将 BUIDL 或 ACRED 用作可借贷抵押品、在代币化国债之上构建收益型结构化产品、将代币化货币市场基金集成到主经纪商业务中 —— 都依赖于 RWA 代币本身以外的东西。它们依赖于底层的 DeFi 运行层。

这一层在 2026 年 4 月刚刚展示了反身性(reflexivity)。如果在另一个协议发生 2.92 亿美元的漏洞利用后,Aave 能在 48 小时内流失 100 亿美元的存款,那么“蓝筹 DeFi”就不是一道防线 —— 它是一种传导机制。而在传导机制上构建的机构产品需要额外 6 到 18 个月的独立基础设施工作,或者需要被重新设计为仅限许可的场所。

这就是 Jefferies 正在定价的延迟。

反面论点:没有 DeFi 的代币化

有一种切实的论点认为,Jefferies 的报告夸大了对机构的影响。在链上 2096 亿美元的 RWA 中,大部分存在于以太坊主网,而非 DeFi 协议内部。BlackRock BUIDL 的持有者大多是机构买家,他们从未打算在 Aave 上进行杠杆操作。摩根大通(JPMorgan)的 Onyx 网络和高盛(Goldman)的代币化资产部门主要在受许可的场所运营。“DeFi 可组合性”的故事在机构采用中所占的份额,一直比加密原生评论家假设的要小。

如果你接受这种框架,Jefferies 的报告就成了一张准许证,而不是一个转折点 —— 那些对 DeFi 可组合性反应冷淡的华尔街风险委员会利用这份报告,将他们本就打算悄悄采取的延迟计划正式化。代币化本身仍在继续。试点项目仍在继续。万亿美元的标题数字并没有太大变动。

诚实的答案可能是两者兼而有之:代币化继续进行,但代币化中 有趣的 部分 —— 即链上资产成为可组合抵押品、在无许可轨道上构建结构化产品、可编程货币的效率提升真正显现的部分 —— 被推迟了。

机构实际上会改变什么

通过阅读 Jefferies 的报告以及主要托管部门发布的公开声明,未来六个月可能会出现三个具体的转变。

第一,审计范围扩展到智能合约之外。 正如一位专家在 Drift 漏洞利用后所说:“审计管理员密钥,而不只是代码。” 预计机构尽职调查将开始要求云安全审计、密钥管理程序审查、治理攻击向量分析,以及每次协议升级后的持续重新认证。代码审计这一细分行业将衍生出一个兄弟行业 —— 运营审计。

第二,受许可的场所将进入快车道。 原计划使用 Aave 或 Morpho 作为抵押品基础设施的银行,正在悄悄将工程力量转向私人部署 —— 即机构专用分叉、白名单借贷市场或基于相同原语但具有已知交易对手的双边回购协议。这用效率换取了控制权,而这种交换是机构风险官员非常愿意做的。

第三,单验证器配置变得无法交付。 事实上,40% 的 LayerZero 协议运行的是 1-of-1 DVN 设置,且默认配置鼓励这样做。这可能会产生协调一致的行业压力,将多验证器要求作为基线。采用合理的默认 2-of-3 或 3-of-5 验证器设置的跨链桥,将继承那些单验证器跨链桥无法获得保险的机构资金流。

历史类比

Jefferies 将 2026 年 4 月定性为一个严重程度较低但同样改变节奏的事件,类似于 2022 年的 Terra/UST 崩盘和 FTX 破产。Terra 将 DeFi 与 TradFi 的集成时间表重置了约 24 个月。FTX 将机构托管时间表重置了约 18 个月。KelpDAO 系列事件 —— 跨链桥漏洞、贷款方传染、审计框架崩溃 —— 看起来更像是一个针对 可组合 DeFi 作为机构基础设施 论点的 12 到 18 个月的节奏性事件,而非针对广泛的代币化。

这是一个重要的区别。这意味着 2027 年 RWA 的牛市前景依然完好。这意味着 BUIDL 继续增长。这意味着稳定币支付量继续攀升。但这也意味着,DeFi 协议成为万亿美元机构金融中信任最小化支柱的 2026 年版本,现在最早要到 2027 年或 2028 年。

真正的教训

最令人不安的教训是,DeFi 损失 140 亿美元并非因为其本身不安全,而是因为其在“安全究竟意味着什么”这一问题上缺乏透明度。智能合约审计是真实且有价值的,但它们仅占实际攻击面的一小部分。只要协议频繁升级、依赖云基础设施、持有特权签名密钥,并发布优先考虑开发人员便利性而非验证者多样性的默认配置,审计就只能验证一个方面,而真正的风险则隐藏在别处。

对于开发者而言,这是一个机遇。能够度过 2026 年机构性停顿的协议,将是那些解决了更难问题的协议——即能够提供持续、可验证的运营完整性证据,而非仅仅依靠一份快照式审计报告和一份希冀的协议。对于机构而言,道路虽然变窄但更加清晰:假设 DeFi 的可组合性会推迟 12 到 18 个月,并在过渡期间专注于许可型代币化。对于其他人:下次当你看到“已审计”作为协议提供的唯一信任信号时,请询问审计师 没有 查看的内容。

这个问题比任何一次黑客攻击都更能塑造 2027 年的机构级加密技术栈。

BlockEden.xyz 为在 Sui、Aptos、Ethereum、Solana 以及其他 25+ 条链上部署的开发者和机构提供企业级 RPC 和索引器基础设施。随着 2026 年的黑客攻击凸显了验证者多样性和运营完整性的重要性,探索我们的 API 市场,在专为机构风险设计的架构上进行开发。

来源

Share on Twitter