#rsETHAttackUpdate

2026年4月18日發生的rsETH利用事件，是今年加密貨幣行業最大的一起安全事件，約有2億9370萬美元的資金從KelpDAO的流動性重質押協議中流出。此次攻擊利用了協議橋接合約中的漏洞，造成連鎖反應，擴散到多個DeFi平台，揭示跨鏈基礎設施中的系統性風險。
這次攻擊的方法雖然高級，但遵循了之前橋接漏洞中常見的模式。攻擊者利用被攻破的橋樑來產生沒有支持的rsETH代幣，然後將其作為抵押存入包括Aave V3、Compound V3和Euler在內的多個主要借貸協議。利用這些非法資產，攻擊者借出了大量WETH和wstETH，造成超過$236 百萬美元的壞帳。被盜資金在以太坊主網和Arbitrum之間分配，分別為$178 百萬美元和$72 百萬美元，顯示此次利用事件具有跨鏈特性。
Aave成為受影響最嚴重的協議，約有2.2139億美元的受污染rsETH抵押品被用來借出約1.9086億美元的WETH和233萬美元的wstETH，分別在以太坊和Arbitrum兩個實例中。協議提供商發布的事件報告描述了兩個壞帳場景，範圍從1.237億美元到2.301億美元不等，促使立即採取風險緩解措施，包括凍結Aave V3和V4中的rsETH市場。這些措施阻止了額外存款，但留下了現有頭寸未被清算，導致用戶資產總額達到101億美元的資金被提取。
此次擴散不僅影響Aave，還波及至少另外九個協議。Fluid確認已停止所有可能暴露於rsETH的市場，而合作夥伴安全公司Compound提出了四項治理提案，以調整受影響的Comet的風險參數。SparkLend凍結了其暴露，Euler則著手控制風險擴散。這些跨協議的影響凸顯了DeFi架構中根本的脆弱性，資產在借貸、金庫和流動性協議中深度整合，可能瞬間傳播失敗。
KelpDAO的反應包括在主網和多個Layer-2網絡上立即停止合約，因為已識別出可疑的跨鏈活動。團隊宣布與LayerZero、Unichain、審計公司及安全專家合作進行根本原因分析。然而，KelpDAO與受影響協議之間的溝通似乎出現緊張，有報告指出LayerZero自2024年7月以來，儘管已開放溝通渠道，但尚未提出針對rsETH DVN配置的具體建議。
此次事件引發了對跨鏈橋安全性的嚴重質疑。正如安全專家Cyvers所指出，通過被攻破的橋路創建無支持的合成資產，並用於借入實際資產，顯示此類利用手法的快速演變。此次攻擊表明，跨鏈資產的分配並未按比例分散風險，橋接設計已成為DeFi資產風險剖面中不可或缺的組件。
行業觀察人士指出，此次事件的模式與之前的Drift Protocol利用事件相似，後者的損失約為$280 百萬美元，現已被此次攻擊超越。利用被攻破的抵押品來創造多平台壞帳的模式，顯示當前的風險管理框架可能不足以應對現代跨鏈DeFi的複雜性。Aave社群預計將討論是否應永久性地從所有市場中移除rsETH，這是繼之前壞帳事件後出現的趨勢。
事後影響仍在擴散，協議正評估其暴露程度並實施改進措施。此次事件是個嚴重提醒，在相互連結的DeFi格局中，安全性僅如最弱環節般堅固。隨著行業應對這次利用事件的影響，焦點轉向建立更堅固的跨鏈風險評估框架，以及在發現漏洞時加強協議間的協調合作。