Kelp DAO 的 rsETH 流動性再質押代幣 的 LayerZero 跨鏈橋於 4 月 19 日(週六)遭到駭客攻擊,成為 2026 年迄今最大的 DeFi 安全事件。多個主要 DeFi 協議已相繼採取緊急應對措施,凍結或暫停與 LayerZero 相關的功能。
攻擊機制:偽造跨鏈消息繞過橋合約驗證
此次攻擊的核心在於 LayerZero 消息驗證的漏洞。攻擊者通過偽造合法的跨鏈消息,使橋合約誤認為收到了有效請求,從而直接釋放 116,500 枚 rsETH 至攻擊者控制的地址。這一攻擊模式並未直接破壞 Aave 等借貸協議的智能合約——攻擊者只需將竊取資產作為「合法」抵押品存入,即可借出大量 WETH,使相關協議面臨無法追回的壞賬敞口。
各主要協議緊急應對措施一覽
Aave:rsETH di V3 dan V4 masih dibekukan; rsETH di mainnet Ethereum didukung penuh sebagai jaminan; cadangan WETH dibekukan secara bersamaan di pasar yang terdampak (Ethereum, Arbitrum, Base, Mantle, Linea); sedang secara aktif menilai solusi potensial.
Ethena:memperpanjang waktu penghentian jembatan LayerZero OFT; mengonfirmasi dukungan aset jaminan USDe tetap di atas 100%.
Fluid:meluncurkan protokol penebusan aWETH, memungkinkan peminjam ETH menebus menjadi wstETH atau weETH, memulihkan likuiditas dan menurunkan risiko likuidasi; batas kapasitas awal adalah 1 miliar dolar ETH.
Morpho:menangguhkan jembatan OFT MORPHO di Arbitrum; keamanan kontrak pintar terjaga, eksposur risiko hanya sekitar 1 juta dolar (tersebar di 2 pasar terisolasi); desain pasar terisolasi sepenuhnya memastikan Vault lainnya tidak terpengaruh.
Curve Finance:menangguhkan infrastruktur dasar LayerZero, memengaruhi bridging CRV dari BNB, Sonic, Avalanche, dan rantai lain serta bridging cepat crvUSD (bridging cepat L2 tetap berjalan normal).
Reserve:secara sementara menangguhkan pencetakan, rebalancing, dan penebusan (unbonding) RSR dari eUSD dan USD3; fungsi penebusan tetap dibuka normal; ETH+ dan bsdETH tidak mengandung aset jaminan rsETH, sehingga berisiko nol.
Konfirmasi protokol yang tidak terdampak: Maple Finance (syrupUSDC dan syrupUSDT tidak terdampak), ekosistem Polygon (termasuk Katana, Vaultbridge), dan liquidity vault dari protokol EtherFi semuanya mengonfirmasi tidak ada risiko kehilangan. Sebagai langkah pencegahan, Hyperwave (ekosistem Hyperliquid) menangguhkan bridging LayerZero.
Pernyataan Resmi LayerZero dan Rencana Lanjutan
LayerZero menyatakan bahwa pihaknya telah sepenuhnya memahami insiden kerentanan rsETH, dan sejak insiden tersebut berlangsung terus berkoordinasi dengan KelpDAO untuk melakukan perbaikan, serta mengonfirmasi bahwa aplikasi lain tetap aman. LayerZero berencana setelah memperoleh semua informasi, bersama KelpDAO menerbitkan laporan analisis pasca-insiden yang lengkap.
Pertanyaan Umum
Bagaimana serangan terhadap jembatan LayerZero rsETH diimplementasikan secara spesifik?
Penyerang memalsukan pesan lintas rantai LayerZero, sehingga kontrak jembatan keliru menganggapnya sebagai permintaan yang sah, lalu langsung melepaskan 116,500 rsETH ke alamat yang dikendalikan penyerang. Serangan ini tidak secara langsung merusak protokol pinjam-meminjam seperti Aave itu sendiri, melainkan menggunakan rsETH hasil curian sebagai jaminan untuk meminjam WETH, sehingga pada pembukuan pinjaman protokol tercipta piutang tak tertagih tanpa jaminan.
Bagaimana status rsETH saat ini di Aave, dan kapan mungkin dipulihkan?
rsETH di Aave V3 dan V4 saat ini masih dalam status dibekukan, sedangkan cadangan WETH dibekukan secara bersamaan di pasar Ethereum, Arbitrum, Base, Mantle, dan Linea. Aave menyatakan bahwa rsETH di mainnet Ethereum didukung penuh sebagai jaminan, tetapi belum mengumumkan jadwal pemulihan yang jelas; saat ini sedang secara aktif menilai solusi potensial.
Protokol apa saja yang dikonfirmasi tidak terdampak dalam peristiwa ini?
Ekosistem Polygon (termasuk Agglayer, Katana, Vaultbridge), liquidity vault protokol EtherFi, syrupUSDT dan syrupUSDC dari Maple Finance, serta ETH+ dan bsdETH dari Reserve semuanya dikonfirmasi tidak memiliki eksposur terhadap rsETH. Seluruh Vault lain di Morpho juga dikonfirmasi tidak terdampak karena desain pasar terisolasi; hanya 2 pasar terisolasi yang memiliki eksposur terbatas sekitar 1 juta dolar.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Serangan Phishing Ethereum Menguras $585K Dari Empat Pengguna, Satu Korban Kehilangan $221K WBTC
Sebuah serangan phishing Ethereum yang terkoordinasi menguras $585,000 dari empat korban, dengan mengeksploitasi izin pengguna melalui tautan yang menipu. Insiden ini menyoroti hilangnya dana secara cepat melalui rekayasa sosial, bahkan ketika tampak seolah sah.
GateNews1jam yang lalu
Perhatikan konten penandatanganan! Vercel terkena peretasan tebusan sebesar 2 juta dolar AS, keamanan frontend protokol kripto mendapat peringatan keras
Platform pengembangan cloud Vercel mengalami peretasan pada 19 April; pelaku memperoleh hak akses melalui alat AI pihak ketiga yang digunakan oleh karyawan, dan mengancam melakukan pemerasan sebesar 2 juta dolar AS. Meskipun data sensitif tidak diakses, data lain mungkin telah dimanfaatkan. Kejadian ini memicu kekhawatiran keamanan di komunitas kripto; Vercel saat ini sedang melakukan penyelidikan dan menyarankan pengguna untuk mengganti kunci.
ChainNewsAbmedia3jam yang lalu
KelpDAO Kehilangan $290M dalam Serangan LayerZero di Lapisan Lazarus Group
KelpDAO mengalami kerugian sebesar $290 juta akibat pelanggaran keamanan yang canggih terkait dengan Grup Lazarus. Serangan tersebut mengeksploitasi kelemahan konfigurasi pada sistem verifikasi mereka dan menyoroti risiko bergantung pada satu pengaturan verifikasi titik tunggal. Para ahli industri menekankan perlunya konfigurasi keamanan yang lebih baik dan verifikasi berlapis untuk mencegah insiden di masa mendatang.
CryptoFrontier3jam yang lalu
LayerZero menanggapi kejadian 2,92 miliar Kelp DAO: Kelp menetapkan konfigurasi DVN 1-of-1 pilihannya sendiri, peretasnya adalah Lazarus Korea Utara
LayerZero mengeluarkan pernyataan terkait insiden peretasan senilai 292 juta dolar AS yang menimpa Kelp DAO, menuduh bahwa konfigurasi Kelp yang memilih 1-of-1 DVN membuat insiden tersebut menjadi mungkin, dan pelakunya adalah grup Lazarus Korea Utara. LayerZero menegaskan bahwa insiden ini berasal dari pilihan konfigurasi, dan bahwa pihaknya tidak akan lagi mendukung pengaturan rentan seperti itu. Selain itu, tanggung jawab masih menjadi perdebatan, dan pihaknya tidak memberikan rencana kompensasi.
ChainNewsAbmedia3jam yang lalu
Peretas DeFi mencuri $600 juta pada bulan April; Kelp DAO dan Drift menyumbang 95% kerugian bulanan
Pada April 2026, hanya dalam 20 hari, protokol kripto mengalami kerugian lebih dari 606 juta USD akibat serangan peretas, menjadi rekor kerugian bulanan tunggal terberat sejak insiden kebocoran data senilai 1,4 miliar USD milik bursa pada Februari 2025. Dua serangan, KelpDAO dan Drift Protocol, secara gabungan menyumbang 95% dari kerugian April, serta 75% dari total kerugian hingga saat ini pada 2026 sebesar 771,8 juta USD.
MarketWhisper3jam yang lalu
Pelanggaran Vercel Terkait Alat AI Konteks.ai yang Dibobol Meningkatkan Risiko bagi Frontend Kripto
Vercel mengonfirmasi adanya pelanggaran keamanan yang disebabkan oleh alat AI yang telah dibobol, yang mengakibatkan pencurian data karyawan dan pelanggan. Insiden ini menimbulkan risiko bagi ekosistem Web3, dan pelaku berusaha menjual data curian tersebut seharga $2 juta. Vercel sedang menangani situasi ini bersama aparat penegak hukum dan pakar penanganan insiden.
GateNews4jam yang lalu
