昨天KelpDAO跨鏈橋被黑了，很多人說AAVE被盜，其實不準確，$AAVE 是被殃及的。

事情是這樣的：攻擊者找到了KelpDAO橋合約的漏洞（用的LayerZero），偽造了一條跨鏈消息，騙合約以為是合法轉賬，然後憑空鑄造了11.65萬個rsETH出來，將近3億美元，占rsETH流通量的18%。
然後他把這些憑空造出來的rsETH存到AAVE V3和V4裡當抵押品，借走了8.3萬個真的WETH。AAVE的預言機沒法分辨這些rsETH是真是假，因為它們在鏈上確實存在，只是底層是空的。
結果就是這些借款永遠不會被清算了，因為抵押品本身就是空氣。AAVE吃了將近2億美元的呆帳，幣價跌了10%
AAVE自己的程式碼沒被攻破，但這件事反而更值得想一想：DeFi的可組合性到底是優勢還是隱患？你自己的合約寫得再好，只要你接受的抵押品出了問題，照樣完蛋。安全邊界從來不是你自己決定的，是你信任鏈條裡最弱的一環決定的。
從Ronin到Wormhole到現在的KelpDAO，跨鏈橋一直是DeFi最大的安全黑洞。
再說一件事，之前 Anthropic 公開說他們訓練出了一個叫Claude Mythos的模型，但決定不對外發布。原因是這個模型能自主發現並利用關鍵軟體漏洞，他們評估後認為被濫用的風險太高。
把這兩件事放在一起想想：現在的合約漏洞還是人類花時間或者用目前的AI找出來的，如果以後更強的AI模型出來，找漏洞的速度和規模會是完全不同的量級。DeFi協議鎖著幾百億美元，智能合約程式碼全部公開，對AI黑客來說就是純粹提款機。