Kelp DAO 旗下流动性再质押代币 rsETH 的 LayerZero 跨链桥于 4 月 19 日(周六)遭到黑客攻击,成为 2026 年迄今最大的 DeFi 安全事件。多个主要 DeFi 协议已相继采取紧急应对措施,冻结或暂停与 LayerZero 相关的功能。
攻擊機制:偽造跨鏈消息繞過橋合約驗證
此次攻击的核心在于 LayerZero 消息验证的漏洞。攻击者通过伪造合法的跨链消息,使桥合约误认为收到了有效请求,从而直接释放 116,500 枚 rsETH 至攻击者控制的地址。这一攻击模式并未直接破坏 Aave 等借贷协议的智能合约——攻击者只需将被盗资产作为「合法」抵押品存入,即可借出大量 WETH,使相关协议面临无法追回的坏账敞口。
各主要协议紧急应对措施一览
Aave:rsETH 在 V3 和 V4 上仍被冻结;以太坊主网上的 rsETH 具有完整抵押支持;WETH 储备在受影响市场(以太坊、Arbitrum、Base、Mantle、Linea)同步冻结;正在积极评估潜在解决方案。
Ethena:延长 LayerZero OFT 桥的暂停时间;确认 USDe 抵押品支持率维持在 100% 以上。
Fluid:推出 aWETH 赎回协议,允许 ETH 借贷者赎回为 wstETH 或 weETH,恢复流动性并降低清算风险,初始容量限制为 10 亿美元 ETH。
Morpho:暂停 Arbitrum 上 MORPHO 的 OFT 桥;智能合约安全,风险敞口仅约 100 万美元(分布在 2 个隔离市场);完全隔离市场设计确保其他 Vault 不受影响。
Curve Finance:暂停 LayerZero 基础设施,影响 CRV 从 BNB、Sonic、Avalanche 等链的桥接及 crvUSD 快速桥接(L2 慢速桥接仍正常)。
Reserve:临时暂停 eUSD 和 USD3 的铸造、再平衡及 RSR 解押;赎回功能正常开放;ETH+ 和 bsdETH 不含 rsETH 抵押品,为零风险。
确认未受影响协议:Maple Finance(syrupUSDC、syrupUSDT 不受影响)、Polygon 生态(含 Katana、Vaultbridge)、EtherFi 协议流动性金库均确认无损失风险。Hyperwave(Hyperliquid 生态)作为预防措施暂停 LayerZero 桥接。
LayerZero 官方声明与后续计划
LayerZero 表示,已全面了解 rsETH 漏洞事件,自事件发生以来持续与 KelpDAO 积极修复,并确认其他应用均保持安全。LayerZero 计划在获取全部信息后,与 KelpDAO 联合发布完整的事后分析报告。
常见问题
rsETH LayerZero 桥遭受的攻击具体如何实施?
攻击者伪造 LayerZero 跨链消息,使桥合约误认为其为合法请求,直接释放 116,500 枚 rsETH 至攻击者控制的地址。攻击并未直接破坏 Aave 等借贷协议本身,而是利用被盗的 rsETH 作为抵押品借出 WETH,在协议贷款账簿上制造了无抵押坏账。
rsETH 目前在 Aave 上的状态如何,何时可能恢复?
rsETH 在 Aave V3 和 V4 上目前仍处于冻结状态,WETH 储备在以太坊、Arbitrum、Base、Mantle、Linea 市场中同步冻结。Aave 表示以太坊主网上的 rsETH 有完整抵押支持,但尚未宣布明确的恢复时程,目前正在积极评估潜在解决方案。
哪些协议在此次事件中确认未受影响?
Polygon 生态(含 Agglayer、Katana、Vaultbridge)、EtherFi 协议流动性金库、Maple Finance 的 syrupUSDT 和 syrupUSDC,以及 Reserve 的 ETH+ 和 bsdETH 均确认不含 rsETH 敞口。Morpho 的其他所有 Vault 因隔离市场设计亦确认不受影响,仅 2 个隔离市场有约 100 万美元有限敞口。
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Pirateage du Kelp DAO attribué au groupe Lazarus ; prise de contrôle du domaine eth.limo via une ingénierie sociale
LayerZero a indiqué que l’exploitation du Kelp DAO, attribuée au groupe Lazarus de la Corée du Nord, a entraîné une perte de $292 millions de tokens rsETH en raison de vulnérabilités dans son réseau de vérificateurs décentralisés. De plus, eth.limo a fait l’objet d’une prise de contrôle de domaine via une attaque d’ingénierie sociale, mais la fonctionnalité DNSSEC a limité les dégâts importants.
GateNewsIl y a 2h
Un piratage DeFi déclenche $9 milliards de sorties de fonds depuis Aave, alors que des jetons volés servent de garanties
Un piratage récent qui a vidé près de $300 millions d’un projet crypto a entraîné une crise de liquidité sur Aave, poussant les utilisateurs à retirer environ $9 milliards. Des inquiétudes concernant la qualité des garanties ont suscité des retraits massifs, mettant en évidence les risques des prêts DeFi.
GateNewsIl y a 2h
Une attaque de phishing sur Ethereum vidant $585K Quatre utilisateurs, une seule victime perd $221K WBTC
Une attaque coordonnée de phishing sur Ethereum a soutiré 585 000 $ à quatre victimes, en exploitant les autorisations des utilisateurs via un lien trompeur. Cet incident met en évidence la perte rapide de fonds par ingénierie sociale, même sous l’apparence de la légitimité.
GateNewsIl y a 4h
Faites attention au contenu de la signature ! Vercel a fait l’objet d’un chantage par piratage de 2 millions de dollars, l’alerte est levée sur la sécurité du front-end du protocole crypto
La plateforme de développement cloud Vercel a été piratée le 19 avril. Les attaquants ont obtenu des droits d’accès via un outil d’IA tiers utilisé par les employés, et ont menacé de rançonner 2 millions de dollars. Bien que des données sensibles n’aient pas été consultées, d’autres données auraient pu être exploitées. L’incident a suscité des inquiétudes au sein de la communauté crypto au sujet de la sécurité ; Vercel mène actuellement une enquête et recommande aux utilisateurs de remplacer leurs clés.
ChainNewsAbmediaIl y a 6h
KelpDAO perd $290M dans l’attaque LayerZero du groupe Lazarus
KelpDAO a subi une perte de $290 million due à une faille de sécurité sophistiquée liée au groupe Lazarus. L’attaque a exploité des faiblesses de configuration dans leur système de vérification et a mis en évidence les risques liés au recours à une configuration de vérification à point unique. Des experts du secteur soulignent la nécessité d’améliorer les configurations de sécurité et de mettre en place une vérification multi-couches afin de prévenir de futurs incidents.
CryptoFrontierIl y a 6h
LayerZero répond à l’événement de 292 M$ du Kelp DAO : indique que Kelp a configuré un DVN 1 sur 1 pour son propre choix, et que le pirate est le Lazarus nord-coréen.
LayerZero a publié une déclaration concernant l’incident de piratage de 292 millions de dollars subi par Kelp DAO, affirmant que la configuration Kelp de 1-of-1 DVN autoselectionné a rendu l’événement possible, et que l’attaquant est le groupe nord-coréen Lazarus. LayerZero souligne que cet incident provient du choix de configuration, et qu’il ne prendra plus en charge ce type de configuration vulnérable. De plus, la question de l’attribution des responsabilités demeure controversée, sans proposer de plan d’indemnisation.
ChainNewsAbmediaIl y a 6h
