一场针对跨链通信机制的恶意伪造事件,致使116,500枚rsETH在未完成原链销毁的前提下被错误释放。攻击者迅速将这些无抵押资产注入Aave平台,作为担保品借出WETH与wstETH,形成重大金融风险敞口。
据Aave披露的技术溯源报告,2026年4月18日17:35,Kelp的rsETH LayerZero V2桥接组件接收一条经篡改的跨链信号,在以太坊端生成了未受验证的rsETH代币。该操作违背了跨链资产必须双向锁闭的共识原则,直接触发资产超额发行。
问题根源在于桥接架构采用单一验证者模式,缺乏多签冗余机制。攻击者通过远程过程调用(RPC)污染手段操控验证节点判断,使其误信源链未发生销毁,从而授权目标链资产释放。
攻击所得资产被分拆至多个钱包地址,其中89,567枚rsETH进入以太坊主网及Arbitrum上的八个Aave V3仓位,累计借出82,650枚WETH与821枚wstETH,期间系统健康度维持在1.01至1.03之间,未触发自动清算。
事件暴露后,Aave协议守护者立即执行应急方案:冻结相关储备金、将贷款价值比降至零,并在多条公链上实施市场暂停。与此同时,Kelp终止涉事桥接服务,Arbitrum安全委员会于4月21日冻结攻击者关联账户中30,765枚ETH。
为应对危机,Aave Labs牵头发起“DeFi United”恢复倡议,联合Lido、EtherFi基金会、Ethena、Mantle等十余家核心生态成员共同出资支持。截至4月25日,恢复资金承诺突破1.6亿美元,后续持续增长至约3亿美元。
技术层面,团队执行多轮清算操作,清退攻击者持仓,销毁追回的rsETH,并通过五阶段流程重构LayerZero适配器。至5月26日,116,131.72枚rsETH已完成再抵押,实现完全支撑恢复。目前,WETH与rsETH市场已回归正常运行状态,但对跨链基础设施标准、资产上架审核机制的安全审查仍在深化推进中。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.