BeautifulDay

#rsETHAttackUpdate
🚨 rsETH漏洞：跨链DeFi基础设施的$293M 警钟
最近针对KelpDAO的流动再质押代币rsETH的漏洞事件，已成为2026年最重大的DeFi安全失败之一，造成约2.937亿美元的损失，并暴露了跨链金融的深层结构性风险。
此次事件不仅仅是协议层面的黑客攻击——它代表了跨链基础设施安全的系统性崩溃，特别是在支撑现代DeFi生态系统的桥接和验证机制中。
🔍 事件概述
2026年4月18日，攻击者利用KelpDAO的由LayerZero支持的桥接系统中的关键漏洞，窃取了约116,500个rsETH(~2.93亿美元)。
此次攻击利用了去中心化验证网络(DVN)配置中的弱点，特别是1对1验证设置，造成跨链消息验证的单点故障。
这一设计缺陷使攻击者能够伪造验证数据并执行未授权的跨链转账，最终耗尽了大量流通中的rsETH。
⚙️ 漏洞的工作原理
攻击遵循了精心设计的序列：
通过隐私通道(Tornado Cash)进行资金注入
利用LayerZero的EndpointV2 lzReceive函数
伪造DVN验证数据注入
跨多个网络提取rsETH
资产被提取后，并未闲置，而是被积极部署在如Aave等借贷市场，造成流动性和抵押品危机的连锁反应。
💥 跨越DeFi市场的传染
此次漏洞迅速超越KelpDAO的范围扩散：
约89,567个rsETH存入借贷协议
以未抵押抵押品借入WETH
仓位分布在以太坊和L2生态系统中
由于抵押品未由真实ETH支持，这些仓位变得无法清算，导致DeFi借贷池中出现永久性坏账。
📉 Aave的坏账暴露
协议分析师的内部评估估计：
1.23亿美元——潜在坏账
在rsETH市场中可能出现超过15%的折让情景
在Arbitrum、Base和Mantle等L2生态系统中出现集中的损失
在最坏情况下，市场压力可能引发额外超过1亿美元的暴露，如果ETH价格进一步下跌。
此事件已促使主要DeFi协议紧急冻结和治理讨论。
🧠 关键结构性失败点
1. 桥≠仅仅是基础设施
跨链桥接现已被证明是核心资产风险向量，而非边缘系统。
2. 组合性风险
DeFi协议单独运行正常——但系统级的交互失败导致崩溃传播。
3. 基础设施盲点
此次漏洞完全绕过智能合约，目标包括：
RPC节点
DVN验证层
跨链消息传输基础设施
⚖️ 行业反应与恢复努力
DeFi生态系统反应迅速：
借贷协议的紧急市场冻结
部分被盗资产的恢复$190M 约40K rsETH$230M
多方恢复承诺总计约38,500 ETH
治理推动的恢复提案正在进行中
主要贡献者包括主要DeFi利益相关者和基础设施提供商，显示出前所未有的合作。
⚠️ 市场影响
此次漏洞引发：
DeFi代币的剧烈价格波动
借贷池的临时流动性紧缩
rsETH在多个链上的脱钩压力
稳定币借贷市场的压力升高
🧭 这对DeFi意味着什么
此次事件凸显了风险认知的根本转变：
DeFi安全不再仅仅是智能合约审计——还包括：
跨链桥设计
验证网络完整性
基础设施依赖映射
默认配置风险
正如一位分析师所指出：
“多数协议在基础设施层面完全暴露。”
🔮 最终结论
rsETH漏洞不仅仅是一次(损失——它是对DeFi互联架构的压力测试。
它表明：
风险不再是单一协议的孤立问题
跨链设计增加了系统性暴露
基础设施安全已成为任务关键
恢复过程可能暂时稳定市场，但此次漏洞引发的结构性问题将塑造DeFi的下一个发展时代。
⚠️ 风险警示
加密货币和DeFi投资风险高，波动极大。过去的表现不代表未来结果。请始终进行独立研究并严格风险管理。
Dragon Fly官方