2026年4月18日,以太坊生态爆发一起关键性安全事件,根源指向与Aave深度集成的第三方跨链桥系统。该漏洞源于运行于Kelp网络的rsETH LayerZero桥所采用的单验证者架构,暴露了在高信任依赖场景下的系统性脆弱点。
作为Unichain与以太坊间的核心连接通道,Kelp桥依赖单一节点审批所有跨链操作。这一设计使系统极易受到RPC投毒攻击影响。攻击者借此诱导验证者在未销毁源链代币的前提下,错误批准了116,500枚rsETH进入以太坊网络。交易经由桥接适配器完成验证后,导致大量异常代币被释放至目标链。
在成功获取非法rsETH后,攻击者将其拆分至七个独立钱包,并将其中多数转入以太坊与Arbitrum上的Aave V3协议作为抵押品。通过构建高杠杆头寸,同时维持健康系数接近清算边界,实现对持仓的动态保护,避免触发自动清算机制。
将rsETH纳入抵押资产体系,意味着Aave间接承担了底层跨链桥的验证责任。开发团队指出:“此举实际上将外部基础设施的固有缺陷转化为协议内部风险敞口。”这种非直接可控的依赖关系,凸显了当前DeFi生态中跨链资产整合带来的深层安全隐患。
Aave启动守护者机制,即时暂停rsETH与wrsETH的所有转账功能,全面封锁相关资产的存取与借贷行为。该措施有效阻断了风险扩散路径。与此同时,Kelp团队成功锁定43,373枚rsETH。Arbitrum安全委员会同步拦截30,766笔关联交易,切断资金流转链条。
此次应对体现多网络协同能力:LayerZero集成方案虽为漏洞载体,但其可追溯特性助力定位攻击者;各链安全组织协作推动资产冻结;而由流动性联盟发起的“DeFi United”行动,投入总额达3亿美元用于资产回收。目前,116,131枚rsETH已进入结构化回收流程,核心业务秩序逐步恢复。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.