2026年最大DeFi攻擊:Kelp DAO rsETH遭LayerZero橋接利用,Aave面臨近2.5億美元壞賬2026年4月18日,DeFi爆發年內最大規模攻擊。黑客通過LayerZero跨鏈橋漏洞,從Kelp DAO的rsETH合約虛空釋放約116,500個rsETH(價值約2.92億美元,占流通供應18%左右)。這些無背書的rsETH被迅速存入Aave V3作為抵押品,借出大量WETH/ETH,導致巨額壞賬。
壞賬分布:
- 以太坊主網Aave V3約1.77億美元。
- Arbitrum鏈約0.72億美元(總計約2.49億美元,與整體exploit規模基本吻合)。
Aave團隊迅速響應,凍結V3和V4所有實例(包括Arbitrum)上的rsETH市場,禁止新存入、借貸和相關操作,防止損失擴大。創始人Stani Kulechov強調:事件與Aave合約無關,系外部橋接問題。Aave正探索通過Umbrella/Safety Module等機制回補壞賬,建議WETH供應商監控并謹慎撤出。
攻擊簡況與波及范圍 攻擊主要發生在Ethereum主網和Arbitrum,黑客利用LayerZero OFT標準偽造跨鏈消息(涉及Unichain到Ethereum的peer合約)。Kelp DAO核心主網backing率仍約102%,但L2 wrapped rsETH變為無背書債權。Kelp已暫停相關合約,與LayerZero、Unichain聯合調查。 連鎖反應:rsETH部署于超過20條鏈(包括Arbitrum、Base、Linea、Blast、Mantle、Scroll等)。至少以下平臺緊急凍結或暫停rsETH支持:
- Aave(全實例凍結)。
- SparkLend。
- Fluid。
- Pendle(部分yield產品受波及)。
- 其他借貸/收益協議如Upshift等。
Lido Finance也暫停涉及rsETH的earnETH產品(核心stETH/wstETH不受直接影響)。市場反應劇烈,AAVE代幣下跌約10-13%。
此次事件再次凸顯跨鏈橋接與LRT在DeFi互聯生態中的風險。事件仍在發展,建議:
- Aave(尤其是Arbitrum和主網)WETH供應商優先監控并評估撤出。
- rsETH持有者注意L2版本depeg風險。
- 密切關注Kelp DAO、Aave及LayerZero官方公告和on-chain數據(Etherscan、Arbiscan)。
DYOR,保護資產安全。信息截至2026年4月18日晚,最新進展以官方渠道為準。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.