🔥 WCTC S8 全球交易賽正式開賽!
8,000,000 USDT 超級獎池解鎖開啟
🏆 團隊賽:上半場正式開啟,預報名階段 5,500+ 戰隊現已集結
交易量收益額雙重比拼,解鎖上半場 1,800,000 USDT 獎池
🏆 個人賽:現貨、合約、TradFi、ETF、閃兌、跟單齊上陣
全場交易量比拼,瓜分 2,000,000 USDT 獎池
🏆 王者 PK 賽:零門檻參與,實時匹配享受戰鬥快感
收益率即時 PK,瓜分 1,600,000 USDT 獎池
活動時間:2026 年 4 月 23 日 16:00:00 - 2026 年 5 月 20 日 15:59:59 UTC+8
⬇️ 立即參與:https://www.gate.com/competition/wctc-s8
#WCTCS8
#rsETHAttackUpdate
rsETH 攻擊更新 — 完整故事,DeFi 需要聽到的內容
自從去中心化金融史上最重大的漏洞之一在實時發生已過去六天。如果你在4月18日那個週末一直在關注你的 Aave 持倉、你的 rsETH 抵押品或你的 DeFi 投資組合出現異常,你並不是在幻想。真的發生了一些非常嚴重的事情——而且事態仍在持續發展中,直到今天,2026年4月24日。我想詳細說明整個事件的經過,從最初的漏洞到現在正在進行的協調修復工作,因為這個故事值得一個清楚、誠實的分析,不帶任何雜音。
2026年4月18日到底發生了什麼
2026年4月18日17:35 UTC,在以太坊區塊24,908,285,一名攻擊者利用了 Kelp 的 LayerZero V2 Unichain 到以太坊 rsETH 的路由。
要理解為什麼這會成為可能,你需要了解該橋接的配置中一個關鍵細節。
Kelp DAO 將其與最弱安全模型的整合設置為一個 1對1 的去中心化驗證者網絡(DVN)。這授予由 LayerZero Labs 運營的單一驗證節點完全的權限來批准跨鏈訊息。
實際上,這意味著如果有人能夠攻破或偽造那個單一驗證者,整個橋就被攻破了。沒有冗餘。沒有第二層檢查。只有一個故障點,卻要保護數億美元的資產。
攻擊者操控 LayerZero 的跨鏈訊息基礎設施,使其將一個偽造的指令視為合法,導致 Kelp 的橋將被盜的代幣釋放到攻擊者控制的錢包中。漏洞發生在UTC 17:35,而 Kelp 的緊急多簽僅在46分鐘後才成功凍結核心合約。這46分鐘的時間正是攻擊者所需要的。
大約有116,500個 rsETH 代幣在未觸發原始網絡銷毀事件的情況下,通過以太坊側的橋被解鎖。這正是這次攻擊如此嚴重的核心原因——在以太坊側釋放的代幣沒有任何合法的抵押品支撐。它們實質上是偽造的。
攻擊者如何將假代幣變成真錢
這部分揭示了這次攻擊的高級技巧。僅僅鑄造無抵押的代幣是一回事。在沒有人察覺之前將它們轉換成真正的價值則是另一個層次。
一名未公開身份的攻擊者操控跨鏈訊息系統,成功鑄造了116,500個無抵押的 rsETH 代幣。這些代幣中近90,000被用作 Aave 平台的抵押品,使攻擊者能借出約1.9億美元的以太坊和其他資產。
總共獲得約2.92億美元,佔 rsETH 流通總量的約18%,成為2026年記錄中最大的一次去中心化金融漏洞。
剩餘的被盜資金經由 Thorchain 橋接並兌換成比特幣,使得追蹤和回收變得更加複雜。
隨之而來的傳染效應
這次漏洞的直接影響不僅限於 KelpDAO 或甚至 Aave。DeFi 協議的相互聯繫意味著震波幾乎瞬間傳遍整個生態系。
Aave 在 V3 和 V4 上凍結了 rsETH 的借貸市場,導致 AAVE 代幣下跌約10%。SparkLend 和 Fluid 也相繼凍結。Lido Finance 暫停了對其 rsETH 相關的 earnETH 產品的存款,同時確認 stETH 和 wstETH 仍未受到影響。
用戶反應迅速且激烈。在攻擊後的48小時內,Aave 損失了84.5億美元的存款,導致整個 DeFi 平台的鎖倉總價值下降了132.1億美元。
攻擊者利用 KelpDAO 基礎設施的漏洞,將無抵押的 rsETH 兌換成 WETH 和穩定幣,並在 Aave 上進行操作。Aave 的 aETHrsETH 合約持有約83%的流通 rsETH,將風險集中在貸款協議上。
對 Aave 特別造成的損失規模
一份分析估計,Aave 可能面臨1.24億到2.3億美元的潛在壞帳,且在72小時內,Aave 的總鎖倉價值下降了33%。
整個損失的核心是超過11.2萬個 rsETH。這個數字正是整個 DeFi United 計劃目前正努力解決的核心問題。
在4月18日18:52 UTC,Aave Guardian 發起了立即凍結所有列有該資產的部署中的 rsETH 和 wrsETH 市場。
DeFi United 的應對措施
自攻擊以來的幾天內,展現了史上最重要的協調反應之一。
Aave 與多家加密公司合作,啟動了 DeFi United 計劃,以應對由 KelpDAO 漏洞造成的2.92億美元損失,並穩定 rsETH 的支撐。主要參與者包括 EtherFi、Golem Foundation 和 Mantle,提供資金和支援。
Lido Finance 是首個公開參與者,提出最多2,500個質押 ETH。EtherFi 提出5,000 ETH,而 Aave 創始人 Stani Kulechov 也個人承諾捐贈5,000 ETH。
Golem Foundation 貢獻了1,000 ETH,其他多個貢獻者也加入了修復行動。
Arbitrum 的安全委員會凍結了與此次漏洞相關的30,766 ETH,這是早期重要的修復步驟。
這揭示了 DeFi 結構性漏洞的本質
rsETH 的漏洞並非智能合約漏洞,而是橋接配置失誤。
1對1 DVN 配置造成了一個單點故障,保護著數億美元的資產。這是行業現在必須面對的核心問題。
跨鏈橋仍然是 DeFi 中最常被攻擊的攻擊面之一。
目前的狀況
截至2026年4月24日,rsETH 市場仍處於暫停狀態。修復工作仍在 DeFi United 下進行,但資金缺口仍超過10萬 ETH。
部分資金已被凍結,但大部分通過 Thorchain 轉入比特幣的資產尚未追回。
尚無確定的重新開放 rsETH 市場的時間表。
這對 DeFi 未來意味著什麼
這次事件對 DeFi 信心造成了嚴重打擊。2.92億美元的漏洞和大量流動性撤出不是一個小事件。
然而,協調的反應展現了生態系日益成熟。多個協議共同承擔損失,象徵著責任的集體轉變。
這次攻擊的教訓將塑造未來橋接安全和風險管理的方向。
保持資訊更新,密切關注官方公告。