湖南
2026年最大DeFi攻击:Kelp DAO rsETH遭LayerZero桥接利用,Aave面临近2.5亿美元坏账2026年4月18日,DeFi爆发年内最大规模攻击。黑客通过LayerZero跨链桥漏洞,从Kelp DAO的rsETH合约虚空释放约116,500个rsETH(价值约2.92亿美元,占流通供应18%左右)。这些无背书的rsETH被迅速存入Aave V3作为抵押品,借出大量WETH/ETH,导致巨额坏账。
坏账分布:
- 以太坊主网Aave V3约1.77亿美元。
- Arbitrum链约0.72亿美元(总计约2.49亿美元,与整体exploit规模基本吻合)。
Aave团队迅速响应,冻结V3和V4所有实例(包括Arbitrum)上的rsETH市场,禁止新存入、借贷和相关操作,防止损失扩大。创始人Stani Kulechov强调:事件与Aave合约无关,系外部桥接问题。Aave正探索通过Umbrella/Safety Module等机制回补坏账,建议WETH供应商监控并谨慎撤出。
攻击简况与波及范围 攻击主要发生在Ethereum主网和Arbitrum,黑客利用LayerZero OFT标准伪造跨链消息(涉及Unichain到Ethereum的peer合约)。Kelp DAO核心主网backing率仍约102%,但L2 wrapped rsETH变为无背书债权。Kelp已暂停相关合约,与LayerZero、Unichain联合调查。 连锁反应:rsETH部署于超过20条链(包括Arbitrum、Base、Linea、Blast、Mantle、Scroll等)。至少以下平台紧急冻结或暂停rsETH支持:
- Aave(全实例冻结)。
- SparkLend。
- Fluid。
- Pendle(部分yield产品受波及)。
- 其他借贷/收益协议如Upshift等。
Lido Finance也暂停涉及rsETH的earnETH产品(核心stETH/wstETH不受直接影响)。市场反应剧烈,AAVE代币下跌约10-13%。
此次事件再次凸显跨链桥接与LRT在DeFi互联生态中的风险。事件仍在发展,建议:
- Aave(尤其是Arbitrum和主网)WETH供应商优先监控并评估撤出。
- rsETH持有者注意L2版本depeg风险。
- 密切关注Kelp DAO、Aave及LayerZero官方公告和on-chain数据(Etherscan、Arbiscan)。
DYOR,保护资产安全。信息截至2026年4月18日晚,最新进展以官方渠道为准。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
