2026年4月的漏洞時間線

17:35 UTC — 攻擊開始

攻擊者向基於LayerZero的Kelp DAO橋發送虛假的跨鏈消息證明。

合同接受該消息爲有效。

釋放116,500 rsETH到攻擊者的錢包中，沒有任何支持。

當時的估計價值：≈ 292 百萬 USD (18 % 的代幣供應)。�

defiprime.com +1

👉 這裏真正的黑客開始了。

17:35 – 18:21 UTC — DeFi利用階段

在接下來的幾分鐘裏，攻擊者執行第二階段：

將被盜的rsETH作爲抵押存入多個協議：

Aave V3

Compound V3

Euler

以WETH（包裝ETH）申請貸款。

大致結果：

≈1.96億美元在Aave中借出

≈3900萬美元在Compound

≈84萬美元在Euler。

LeoDex

DeFi中產生的總債務：

≈2.36億美元

18:21 UTC — Kelp DAO暫停協議

Kelp DAO團隊執行緊急“pauseAll”。

這發生在初次攻擊後46分鐘。

KuCoin +1

黑客後續提取更多代幣的嘗試失敗。

~18:52 UTC — Aave啓動緊急措施

Aave Guardian檢測到可疑活動。

rsETH和wrsETH市場在所有協議實現中被凍結。

Aave

儘管如此，損害已造成：

虛假抵押的貸款已經存在。

~18:55 UTC — 公開調查

鏈上研究員ZachXBT在Telegram上警告攻擊。

識別出與攻擊者相關的多個錢包。

20:10 UTC — 首次官方聲明

Kelp DAO發佈其首份公開聲明。

確認：

跨鏈活動可疑

合約已暫停

調查進行中。

LeoDex

📉 4月19日 — Aave危機

幾小時後開始出現系統性後果：

≈177-200百萬美元的無償還債務在Aave。

KuCoin +1

WETH池達到100%的利用率。

Binance

用戶試圖大規模提取流動性。

超過54億美元的ETH從協議中流出。

BeInCrypto

AAVE代幣下跌約20%。

CoinMarketCap

📊 4月19-20日 — 多米諾效應

在接下來的24–48小時內：

Aave的TVL從~264億降至不到200億。

LeoDex +1

開始治理討論以彌補損失。

啓動Umbrella / Safety Module保護系統。

Kelp DAO與黑客進行白帽交易談判。

🧠 攻擊摘要（簡述）

Kelp DAO的橋接黑客攻擊→創建虛假代幣→作爲抵押在Aave中使用→真實貸款→無償還債務。

漏洞的技術持續時間：

≈46分鐘

生態系統的整體財務影響：

2.92億美元被盜

在Aave中有177M–200M的債務

60億–90億美元的流動性被提取。

KuCoin +1

#HackAAVE #AaveProtocol #HackeoAAVE