🚨 #rsETH攻击更新

#rsETHAttackUpdate
🚨 rsETH漏洞：跨链DeFi基础设施的$293M 警钟

最近针对KelpDAO的流动再质押代币rsETH的漏洞事件，已成为2026年最重大的DeFi安全失败之一，造成约2.937亿美元的损失，并暴露了跨链金融的深层结构性风险。

此次事件不仅仅是协议层面的黑客攻击——它代表了跨链基础设施安全的系统性崩溃，特别是在支撑现代DeFi生态系统的桥接和验证机制中。

🔍 事件概述

2026年4月18日，攻击者利用KelpDAO的由LayerZero支持的桥接系统中的关键漏洞，窃取了约116,500个rsETH(~2.93亿美元)。

此次攻击利用了去中心化验证网络(DVN)配置中的弱点，特别是1对1验证设置，造成跨链消息验证的单点故障。

这一设计缺陷使攻击者能够伪造验证数据并执行未授权的跨链转账，最终耗尽了大量流通中的rsETH。

⚙️ 漏洞的工作原理

攻击遵循了精心设计的序列：

通过隐私通道(Tornado Cash)进行资金注入

利用LayerZero的EndpointV2 lzReceive函数

伪造DVN验证数据注入

跨多个网络提取rsETH

资产被提取后，并未闲置，而是被积极部署在如Aave等借贷市场，造成流动性和抵押品危机的连锁反应。

💥 跨越DeFi市场的传染

此次漏洞迅速超越KelpDAO的范围扩散：

约89,567个rsETH存入借贷协议

以未抵押抵押品借入WETH

仓位分布在以太坊和L2生态系统中

由于抵押品未由真实ETH支持，这些仓位变得无法清算，导致DeFi借贷池中出现永久性坏账。

📉 Aave的坏账暴露

协议分析师的内部评估估计：

1.23亿美元——潜在坏账

在rsETH市场中可能出现超过15%的折让情景

在Arbitrum、Base和Mantle等L2生态系统中出现集中的损失

在最坏情况下，市场压力可能引发额外超过1亿美元的暴露，如果ETH价格进一步下跌。

此事件已促使主要DeFi协议紧急冻结和治理讨论。

🧠 关键结构性失败点

1. 桥≠仅仅是基础设施

跨链桥接现已被证明是核心资产风险向量，而非边缘系统。

2. 组合性风险

DeFi协议单独运行正常——但系统级的交互失败导致崩溃传播。

3. 基础设施盲点

此次漏洞完全绕过智能合约，目标包括：

RPC节点

DVN验证层

跨链消息传输基础设施

⚖️ 行业反应与恢复努力

DeFi生态系统反应迅速：

借贷协议的紧急市场冻结

部分被盗资产的恢复$190M 约40K rsETH$230M

多方恢复承诺总计约38,500 ETH

治理推动的恢复提案正在进行中

主要贡献者包括主要DeFi利益相关者和基础设施提供商，显示出前所未有的合作。

⚠️ 市场影响

此次漏洞引发：

DeFi代币的剧烈价格波动

借贷池的临时流动性紧缩

rsETH在多个链上的脱钩压力

稳定币借贷市场的压力升高

🧭 这对DeFi意味着什么

此次事件凸显了风险认知的根本转变：

DeFi安全不再仅仅是智能合约审计——还包括：

跨链桥设计

验证网络完整性

基础设施依赖映射

默认配置风险

正如一位分析师所指出：

“多数协议在基础设施层面完全暴露。”

🔮 最终结论

rsETH漏洞不仅仅是一次(损失——它是对DeFi互联架构的压力测试。

它表明：

风险不再是单一协议的孤立问题

跨链设计增加了系统性暴露

基础设施安全已成为任务关键

恢复过程可能暂时稳定市场，但此次漏洞引发的结构性问题将塑造DeFi的下一个发展时代。

⚠️ 风险警示

加密货币和DeFi投资风险高，波动极大。过去的表现不代表未来结果。请始终进行独立研究并严格风险管理。

Dragon Fly官方