4 月 19 日 — 4 月 18 日 17:35(UTC)时,攻击者利用了 Kelp DAO 由 LayerZero 驱动的跨链桥漏洞,释放了 116,500 rsETH (大约 $293 百万,并约占该代币流通供应量的 18%)到攻击者控制的钱包中,而未相应锁定 ETH。随后,攻击者将未被抵押的 rsETH 作为抵押品存入 Aave V3 和 V4,并借出真实的包装以太 (WETH)。等到 46 分钟后 Kelp 的紧急 multisig 冻结协议时,WETH 已被提走。

该跨链桥漏洞使攻击者能够提交一条经过校验的信息,尽管源链上并没有实际存款。18:26 和 18:28(UTC)两次后续尝试各自企图再抽走 40,000 rsETH,但在暂停被激活后均被回滚。

目前 Aave 的不良债务在 $177 百万到 $236 百万之间,主要集中在以太坊上的 rsETH/WETH 这组资产。平台的总锁仓价值 (TVL) 下降了大约 $6 十亿,WETH 市场利用率达到 100%(从而阻止进一步提款),AAVE 代币跌幅超过 18%。Aave 的 Umbrella 保险基金持有约 $50 百万资金,因而仍存在显著缺口。由于 rsETH 作为抵押品无法兑换且在未被确认完全抵押之前不会接近锚定价,借款头寸实际上无法被清算。

SparkLend、Fluid 和 Upshift 在数小时内暂停或冻结了 rsETH;Morpho 的隔离市场架构将其暴露限制在两笔市场合计约 $1 百万。现今跨越 20 多条链的 rsETH 仍将面临支持不确定性,直到 Kelp 发布一份将储备与未偿供应进行对账的报告。此次漏洞利用是 2026 年规模最大的 DeFi 事件,当年累计 DeFi 损失在约 45 个协议之间达到 $450 百万到 $482 百万。