✍️ Gate 广场「创作者认证激励计划」进行中!
我们欢迎优质创作者积极创作,申请认证
赢取豪华代币奖池、Gate 精美周边、流量曝光等超 $10,000+ 丰厚奖励!
立即报名 👉 https://www.gate.com/questionnaire/7159
📕 认证申请步骤:
1️⃣ App 首页底部进入【广场】 → 点击右上角头像进入个人主页
2️⃣ 点击头像右下角【申请认证】进入认证页面,等待审核
让优质内容被更多人看到,一起共建创作者社区!
活动详情:https://www.gate.com/announcements/article/47889
#KelpDAOBridgeHacked KelpDAO rsETH 桥梁漏洞:2026 年最大的 DeFi 黑客事件
2026 年 4 月 18 日,KelpDAO 作为一个在事件发生前拥有超过 13 亿美元总锁仓价值 (TVL) 的知名流动性再质押协议,遭遇了一次针对其跨链桥基础设施的灾难性漏洞攻击。此次攻击导致约 116,500 个 rsETH 代币被盗,按被入侵时的估值约为 2.92 亿至 2.94 亿美元,使其成为截至目前 2026 年最大的去中心化金融漏洞事件。
攻击途径
此次漏洞针对由 LayerZero 的跨链消息协议驱动的 KelpDAO rsETH 桥。攻击者识别并利用了 LayerZero EndpointV2 的 lzReceive 函数中的关键漏洞。其方法包括使用 Unichain EID 30320 注册一个测试网对等节点,并利用 1 对 1 去中心化验证网络 (DVN) 的批准配置。这样一来,攻击者即可构造并发送一条欺诈性的跨链消息,从而绕过标准验证流程,触发在缺乏合法支持资产的情况下从金库中未经授权释放 rsETH。
被盗的 rsETH 约占该代币流通总量的 18%,这在 DeFi 生态系统中引发了即时的系统性担忧。
跨协议传染与坏账危机
攻击者并未持有被盗资产,而是迅速将未获抵押支持的 rsETH 作为抵押品部署到多个借贷协议中,制造了层层递进的坏账局面:
- Aave V3 (Ethereum):借出 52,834 WETH
- Aave V3 (Arbitrum):借出 29,782 WETH 外加借入 821 wstETH
- Compound V3 和 Euler:额外借款 23-59 million 美元
受影响协议中的总坏账超过 $200 million,因为在协议暂停后,rsETH 抵押品实际上变得一文不值。这使得此次事件不只是一次桥梁漏洞,更是一场跨协议传染事件,考验了 DeFi 互联架构的韧性。
即时市场影响
此次漏洞引发了显著的市场反应以及协议层面的紧急应对措施:
- 由于大规模 ETH 提现,Aave 的 TVL 跌幅超过 $7 billion,且在受影响市场的利用率达到 100%
- 原生代币下跌:$AAVE fell approximately 20%,而 $ZRO (LayerZero) 下跌约 30%
- 在 Aave V3、V4、SparkLend、Fluid 和 Upshift 上针对 rsETH 抵押品实施紧急市场冻结
- Lido Earn 因对 rsETH 暴露的担忧而暂停 earnETH 存款
- 多个使用 LayerZero 桥的项目启动了预防性暂停
此外还出现了次级风险,包括潜在的 ETH 清算失败、USDT 借贷激励的复杂化,以及 Arbitrum 上 Aave 部署面临的集中坏账暴露,可能缺乏全面的 Umbrella 覆盖保护。
应急响应与当前状态
KelpDAO 的安全团队在检测到攻击后约 1 小时内做出响应,在 4 月 18 日 18:21 UTC 实施了全协议暂停。该快速响应成功阻止了随后两次攻击尝试。团队已发布官方声明,确认他们愿意进行白帽谈判,并正在与 LayerZero、Unichain 以及第三方审计机构合作开展全面的根因分析。
Aave 治理层已启动关于金库资金投放以及为弥补已识别短缺而可能发放贷款的讨论,相关提案包括提高 ETH slope2 利率以应对协议压力。据 Chaos Labs 的分析,约 $177 million 的坏账已被结清,但 Arbitrum 的暴露仍未得到解决。
包括 ZachXBT 在内的区块链调查人员已将被盗资金追踪至 Tornado Cash,但目前尚未报告任何成功追回。分析师预计,已通过桥接的 rsETH 持有者可能面临 15-20% 的折价(haircuts)。KelpDAO 正在考虑通过损失社会化机制或主网持有者优先策略来应对潜在损失。
行业影响
此次事件代表了跨链桥安全性以及流动性再质押代币 (LRT) 组合性(composability)的关键拐点。此次漏洞凸显了可配置桥安全参数中的基础性脆弱性,尤其是简化的 DVN 配置所带来的风险。该事件进一步加剧了对桥架构安全标准的审视,以及高度互联的 DeFi 协议所带来的系统性风险。
KelpDAO 的被入侵事件超过了 2026 年 4 月 1 日 Drift Protocol 记录的此前最高 280-285 million 美元漏洞,凸显出针对复杂跨链基础设施的攻击正呈现愈发精密化的令人警惕趋势。2026 年 4 月,行业在多起事件中累计记录的加密资产损失已超过 12 亿美元,其中包括 CoW Swap 域名劫持攻击等。行业正面临不断加大的压力:需要强化安全基础设施,并实施更强健的跨协议风险管理框架。
建议受影响用户与市场参与者持续关注 KelpDAO 和 Aave 的官方渠道,以获取有关资金追回工作、补偿框架以及协议重新开放时间表的最新更新。
#KelpDAO #DeFiSecurity #CryptoHack #BridgeExploit
2026年4月18日,KelpDAO,一家知名的流动性重质押协议,事发前锁仓总价值超过13亿美元(TVL),遭遇了一次灾难性的漏洞攻击,目标是其跨链桥基础设施。此次攻击导致约116,500个rsETH代币被盗,按当时市值估算约19283746565748392亿至2.94亿美元,成为2026年迄今最大规模的去中心化金融漏洞。
攻击途径
此次漏洞针对由LayerZero的跨链消息协议驱动的KelpDAO的rsETH桥。攻击者识别并利用了LayerZero EndpointV2的lzReceive函数中的关键漏洞。具体方法包括使用Unichain EID 30320注册测试网对等节点,并利用1对1去中心化验证网络(DVN)的批准配置。这样,攻击者能够伪造并传输一条欺诈性的跨链消息,绕过标准验证流程,从而在没有合法抵押资产的情况下,触发未授权的rsETH释放。
被盗的rsETH大约占该代币流通总量的18%,引发了DeFi生态系统的即时系统性担忧。
跨协议传染与坏账危机
攻击者没有持有被盗资产,而是迅速将未抵押的rsETH作为抵押品部署到多个借贷协议中,形成了连锁的坏账危机:
- Aave V3 (Ethereum):借出52,834 WETH
- Aave V3 (Arbitrum):借出29,782 WETH和821个wstETH
- Compound V3和Euler:额外借款2,300万至5,900万美元
受影响协议的总坏账超过$200 百万美元,原因是rsETH抵押品在协议暂停后变得一文不值。这次事件不仅是一次桥梁漏洞,更是一次跨协议传染事件,考验DeFi互联架构的韧性。
市场的即时反应
此次漏洞引发了市场的剧烈反应和协议层的紧急应对措施:
- Aave的TVL因大量ETH提现骤降超过-9223372036854775808亿$7 ,相关市场的利用率达到100%
- 原生代币价格下跌:$AAVE 约跌20%,$ZRO (LayerZero)大约下跌30%
- 在Aave V3、V4、SparkLend、Fluid和Upshift中对rsETH抵押实施紧急冻结
- Lido Earn暂停了earnETH存款,原因是对rsETH的敞口担忧
- 多个利用LayerZero桥的项目启动了预防性暂停
次级风险包括ETH清算失败、USDT借贷激励机制复杂化,以及Arbitrum上的Aave部署面临的集中坏账风险,可能缺乏全面的Umbrella保护。
紧急响应与当前状态
KelpDAO的安全团队在发现后约一小时内做出反应,于4月18日18:21 UTC实施了全协议暂停。这一快速反应成功阻止了后续的两次攻击尝试。团队已发布官方声明,表示愿意与白帽团队协商,并正与LayerZero、Unichain及第三方审计机构合作进行全面的根本原因分析。
Aave治理已启动关于资金部署和潜在贷款的讨论,以弥补已识别的短缺,提案包括提高ETH的Slope2利率以缓解协议压力。根据Chaos Labs的分析,约$177 百万美元的坏账已得到清算,但Arbitrum的风险敞口尚未解决。
区块链调查员包括ZachXBT已追踪到被盗资金流向Tornado Cash,目前尚未成功追回。分析师预计被桥接rsETH持有者可能面临15-20%的减值,KelpDAO考虑采用损失社会化机制或优先保护主网持有者。
行业影响
此次事件标志着跨链桥安全和流动性重质押代币(LRT)组合性的重要转折点。漏洞凸显了可配置桥梁安全参数的根本性弱点,特别是与简化的DVN配置相关的风险。事件加剧了对桥梁架构安全标准的审查,以及由高度互联的DeFi协议带来的系统性风险。
KelpDAO的漏洞超越了2026年4月1日Drift Protocol价值19283746565748392亿至2.85亿美元的黑客事件,显示出攻击手段日益复杂,针对复杂跨链基础设施的威胁不断升级。2026年4月,行业在多起事件中累计损失超过12亿美元,包括CoW Swap域名劫持攻击,行业面临加强安全基础设施和实施更完善的跨协议风险管理框架的压力。
受影响的用户和市场参与者应密切关注KelpDAO和Aave的官方渠道,获取关于资金恢复、赔偿方案和协议重启的最新信息。
#KelpDAO #DeFiSecurity #CryptoHack #BridgeExploit