週六晚間,DeFi 在短短 46 分鐘內損失了今年以來單次事件中最大的資金, Aave也因此面臨迄今為止最大的挑戰。整個過程大約只用了一筆交易。
4月18日17:35 UTC,攻擊者向Kelp DAO基於LayerZero技術的跨鏈橋發送了一條精心構造的訊息。該跨鏈橋誤認為訊息合法,並向一個10小時前透過Tornado Cash充值的錢包釋放了116,500枚rsETH,價值約2.93億美元,約佔該代幣總流通量的18%。另一端沒有任何ETH發生交易,這意味著rsETH實際上是憑空產生的。
攻擊者並未試圖出售這些WETH。他們將其存入Aave V3作為抵押品,並以此為抵押借入真正的WETH,然後在Aave V4上重複了同樣的操作。 46分鐘後,當Kelp的緊急多重簽章機制凍結協議的核心合約時,這些WETH已經消失得無影無蹤。
UTC 時間 18:26 和 18:28 的兩次後續嘗試,每次都試圖再抽取 40,000 rsETH,但都恢復了暫停狀態,不過第一次打擊已經在 DeFi 領域引起了反響。
24 小時後,據DefiLlama稱, Aave 的壞帳在 1.77 億美元至 2.36 億美元之間,其TVL 下降了約 60 億美元,其 WETH 市場利用率達到 100%, Aave代幣下跌超過 18% 。
SparkLend、Fluid 和 Upshift 都已暫停或凍結rsETH。超過 20 條鏈上的 rsETH 缺乏可靠的支撐。以太坊本身幾乎沒有變化。
以規模計算,這是 2026 年最大的 DeFi 漏洞事件。
事情經過是怎樣的
rsETH 是 Kelp 的流動性再質押代幣。每個 rsETH 都代表對存入 Kelp 並經由 EigenLayer 業者進行再質押的ETH 的真實索取權。正是這種近似一對一的關係,使得一些貨幣市場願意將 rsETH 視為與 ETH 相關的抵押品。
rsETH 存在於 20 多個網路上,並透過 LayerZero 訊息層在它們之間傳輸。當使用者在一條鏈上鎖定 rsETH 時,目標鏈上的橋接器只有在驗證了來自來源鏈的有效訊息後,才會鑄造或釋放等量的 rsETH。
攻擊者找到了一種方法,使驗證過程能夠接受一條與實際存款不符的訊息,從而在沒有任何ETH被鎖定的情況下釋放了 116,500 個 rsETH。 Kelp 的金庫儲備沒有變化,但以 rsETH 計價的負債增加了 18%。
Aave如何成為出口之門
故事到這裡,Aave就感到不舒服了。
Kelp 的橋樑是這次鑄幣事件的直接原因。但之所以造成 2 億美元的巨額損失,而不是局部可恢復的事件,是因為Aave的設計初衷是將 rsETH 打造成 DeFi 領域資金效率最高的抵押品類型之一。
供應上限足以容納全部 2.92 億美元的存款。 WETH 的借貸上限設定得非常大,以至於單一攻擊者只需幾筆交易就能提取價值超過 2 億美元的真實以太幣。清算門檻的設定是基於 rsETH 的交易價格將維持在錨定價格或接近錨定價格的前提下。
Chaos Labs、Block Analitica 和 LlamaRisk 的上市審查和參數調整將 rsETH 視為它在實踐中本來的樣子:一種保守抵押的流動性再質押代幣 (LRT),價格歷史平淡無奇。
這就是為什麼攻擊者能夠利用橋接器上的一條偽造訊息,從 DeFi 領域最大的貸款機構中竊取真實資產的原因。
數十億 WETH 離開了Aave
攻擊者以未擔保的rsETH為抵押借入WETH後,WETH供應商開始撤回自己的資金,可能是因為他們認為先行者能夠獲得全額補償,而後行者則需承擔剩餘損失。截至週日上午,已有價值54億美元的ETH和WETH從Aave撤離。
WETH 資金池使用率達到 100%,這意味著 WETH 存款者無法再提取資金。
The borrow positions are effectively unliquidatable. The collateral cannot be redeemed at Kelp and will not trade near peg once the scale of unbacked supply is fully digested. No profitable liquidation path exists.
Aave Labs在X上表示,Aave的合約沒有受到損害。但「沒有漏洞」並不一定意味著「沒有問題」。
Aave 的傘式保險基金持有約 5,000 萬美元。 Aave 特有的壞帳約 1.96 億美元,主要集中在以太坊上的 rsETH/WETH 交易對中。未來幾週的治理工作將圍繞著這部分資金。
按順序,aWETH Umbrella 質押者首先透過自動罰沒承擔第一部分;WETH 供應商按比例損失其存款;如果治理機制啟動更深的罰沒,則 stkAAVE 持有者是下一個;DAO 國庫可以資助償還方案。
Aave的守護者凍結了所有部署中的 rsETH 和 wrsETH。 Aave V4 的安全委員會禁用了核心樞紐和 Kelp E-Spoke 上的供應和借貸功能。風險管理委員會提出的降低 WETH Slope1 的提案已生效,旨在重新引入新的供應。
傳染病蔓延
SparkLend、Fluid 和 Upshift 在幾個小時內凍結了 rsETH。 Morpho 是個例外:其執行長 Paul Frambot 表示,受影響的 rsETH 僅涉及兩個獨立的市場,總額約 100 萬美元,其他金庫則完全不受影響。 Morpho 的架構將每個市場隔離,因此一個交易對中的不良債務不會擴散。
目前,rsETH 本身在 20 多個鏈上都存在資金儲備問題,直到 Kelp 公佈一份清晰的儲備金與流通供應量的核對報告。任何接受 wrsETH 作為抵押品的協議都將面臨風險,直到該核算報告公開為止。
LayerZero 的訊息傳遞層也將受到審查,因為 Kelp 的橋接器中操作的路徑並非 Kelp 獨有。
Kelp事件緊接著4月1日Drift遭受的2.85億美元駭客攻擊、3月Resolv Labs遭受的8,000萬美元漏洞以及一系列基礎設施層面的安全漏洞。預計到2026年,DeFi領域累計損失將在4.5億美元至4.82億美元之間,涉及約45個協議。
