#rsETHAttackUpdate

2026年4月18日发生的rsETH利用事件，是今年加密货币行业最大的安全事件，约有2.937亿美元从KelpDAO的流动性恢复协议中流出。此次攻击利用了协议桥接合约中的漏洞，形成了连锁反应，波及多个DeFi平台，并揭示了跨链基础设施中的关键系统性风险。
此次攻击的方法虽然先进，但遵循了之前桥接漏洞中常见的模式。攻击者利用被攻破的桥梁生成没有支持的rsETH代币，然后作为抵押存入包括Aave V3、Compound V3和Euler在内的多个主要借贷协议中。利用这些非法资产，攻击者借出了大量WETH和wstETH，造成超过$236 百万美元的坏账。被盗资金在以太坊主网和Arbitrum之间分配，分别为19283746565748392亿美元和19283746565748392亿美元，显示出此次利用事件的跨链特性。
Aave成为受影响最严重的协议之一，约有2.2139亿美元的受污染rsETH抵押品被用来借出约1.9086亿美元的WETH和233万美元的wstETH，涉及以太坊和Arbitrum两个实例。协议提供商发布的事故报告中描述了两个坏账场景，金额从1.237亿美元到2.301亿美元不等，促使立即采取风险缓解措施，包括冻结Aave V3和V4中的rsETH市场。这些措施阻止了额外存款，但未关闭现有仓位，导致用户资产总额达101亿美元的资金被提取，存款者纷纷撤出资金。
此次影响还扩散到至少另外九个协议。Fluid确认已停止所有可能暴露rsETH的市场，而合作伙伴Compound提出了四项治理提案，以调整受影响的Comet协议中的风险参数。SparkLend冻结了其暴露，Euler也采取措施控制风险扩散。这些跨协议的影响凸显了DeFi架构中固有的脆弱性，资产在借贷、金库和流动性协议中的深度整合，可能瞬间传导失败。
KelpDAO的应对措施包括在主网和多个Layer-2网络中直接暂停合约，原因是检测到跨链可疑活动。团队宣布与LayerZero、Unichain、审计团队及安全专家合作，进行根本原因分析。然而，KelpDAO与受影响协议之间的沟通似乎存在紧张，报告显示LayerZero自2024年7月以来尚未提出具体的配置建议，尽管双方已保持沟通渠道。
此次事件引发了对跨链桥安全性的严重质疑。安全专家Cyvers指出，通过被攻破的桥梁渠道创建无支持的合成资产并用以借入真实资产的能力，显示了此类利用手段的快速演变。此次攻击表明，跨链资产的分布并未按比例分散风险，桥梁设计已成为DeFi资产风险配置中不可或缺的组成部分。
行业观察人士指出，此次事件的模式与之前价值$178 百万美元的Drift Protocol利用事件相似，后者现已被此次攻击超越。利用被攻破的抵押品在多个平台上制造坏账的模式，显示出当前的风险管理框架可能不足以应对现代跨链DeFi的复杂性。Aave社区预计将讨论是否应永久性地从所有市场中移除rsETH，沿袭此前坏账事件后的常见做法。
事后影响仍在持续扩大，协议方在评估其暴露程度并采取改进措施。这次事件是一个严厉的提醒，在相互连接的DeFi生态中，安全性仅如链中最弱环节般脆弱。随着行业应对这次利用事件的影响，未来将更加关注构建更稳健的跨链风险评估框架，以及在发现漏洞时加强协议间的协调合作。