文章总结： 2026年4月18日KelpDAO跨链桥协议因逻辑验证漏洞被黑客攻击，造成2.93亿美元损失，成为年度最大DeFi安全事件。攻击者伪造跨链指令利用46分钟响应延迟盗取资产，暴露跨链桥在隐蔽性、多链影响和追回难度上的高风险。事件表明需加强智能合约审计与实时监控机制。 综合评分： 82 文章分类： 区块链安全,漏洞分析,安全大事件,威胁情报,应急响应

2026年迄今最大区块链安全事件：黑客利用协议漏洞，盗走价值2.93亿美元代币

原创

勒索头条 勒索头条

勒索病毒头条

2026年4月20日 19:28 北京

在小说阅读器读本章

去阅读

基于全球勒索攻击事件的长期监测与实战分析，「勒索病毒头条」持续研判行业攻击趋势，为政企单位提供专业的勒索攻击响应及防护服务。如遇相关安全事件，可扫描文末二维码获取专属支持。

当地时间4月18日，运行在以太坊上的去中心化区块链金融项目Kelp DAO证实发生安全事件。黑客利用其跨链通信协议里的逻辑漏洞，盗走约11.65万个rsETH代币，价值2.93亿美元。这也是2026年至今，已知损失金额最大的一起去中心化金融（DeFi）安全事件。

Kelp DAO证实发生可疑跨链活动

Kelp DAO是一个流动性再质押的区块链协议。用户将以太坊等资产质押到平台后，会获得对应的rsETH代币作为凭证。用户的资产既可以获得质押收益，又能通过rsETH在市场中正常交易、自由流通。

目前区块链生态中有多条独立网络，彼此之间无法直接互通。为了让rsETH能够在这些不同网络间转移，Kelp DAO使用了跨链桥技术，相当于不同区块链之间的转账通道，负责传递资产转移的信息。

此次攻击中，黑客正是利用了跨链通信环节的身份验证漏洞。攻击者伪造了一条带有合法签名的跨链指令，而系统在处理这条消息时存在逻辑校验缺陷，误将这条恶意指令判定为有效的资产提取请求。

系统被误导后自动执行了资金划转，将原本用于抵押担保的rsETH储备金大量转入黑客账户。根据监测数据，从攻击首次发生到平台发现异常并紧急关停服务，中间存在约46分钟的响应延迟，黑客甚至在这段时间内尝试再次发起约1亿美元规模的攻击，但未成功。

目前，Kelp DAO已紧急关闭以太坊上的相关智能合约，试图阻断后续攻击，并展开取证调查。

此次事件暴露出跨链桥正在成为DeFi体系中最容易被突破的关键节点。

跨链桥需要处理多链之间的消息验证、资产映射与状态同步，其复杂度远高于传统智能合约。一旦验证机制存在缺陷，攻击者无需控制底层链或核心协议，仅通过构造消息即可实现资产转移：

• 攻击路径隐蔽：不依赖明显漏洞，而是利用逻辑缺陷；
• 放大效应显著：影响跨多个链的资产体系；
• 恢复难度极高：资产已跨链分散，追回难度大

在大规模DeFi攻击事件中，跨链桥攻击事件占比持续上升。本次事件的损失规模，也已超过此前最大的一起价值2.8亿美元的攻击事件（Solana生态的Drift攻击事件），成为目前为止本年度规模最大的DeFi安全事件。

消息来源：

https://cybernews.com/crypto/300m-stolen-in-cross-chain-bridge-hack-largest-defi-exploit-of-2026/

相关阅读

1. 员工泄密引发黑客勒索！全球头部加密交易所Kraken约2000个账户敏感信息泄露

2. 2025年勒索组织加密货币收入超8.2亿美元，受害者数量同比增长约50%

3.“加密手机”爆出风险！Web3智能手机Solana Seeker几分钟就可被攻破

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：勒索病毒头条 勒索头条 勒索头条《2026年迄今最大区块链安全事件：黑客利用协议漏洞，盗走价值2.93亿美元代币》