#KelpDAOBridgeHacked ✨去中心化金融(DeFi)生态系统在2026年4月18日星期六17:35 UTC经历了年度最大压力测试——Kelp DAO桥梁攻击。Kelp DAO的由LayerZero支持的跨链桥被伪造消息验证所欺骗,单笔交易序列中被 draining 了116,500个rsETH——大约$292 百万。这一金额约占总rsETH供应量630,000的18%,事件发生在46分钟内。Kelp团队在18:21 UTC通过紧急多签暂停了合约,但此时大部分资金已通过Tornado Cash相关地址转换为ETH。
🧐攻击技术
LayerZero的消息层验证了一个伪造的转账指令,该指令似乎来自另一条链。这触发了桥的lzReceive函数,允许未授权的铸币操作。
攻击者利用单一验证漏洞,将116,500个rsETH铸入自己的钱包,然后试图在另外两次尝试中窃取另外40,000个rsETH;这些尝试因Kelp的紧急暂停而被阻止。
🧐资金流动与杠杆利用
被盗的rsETH中约$250 百万被迅速转换为ETH。链上数据显示,攻击者借入了106,467 ETH (约2.5亿美元)。
这些资金被用作Aave V3/V4、Compound V3和Euler的抵押品,形成超过$236 百万的坏账头寸。
🧐受影响资产与链
被清空的桥支持跨越20多个链的rsETH储备,包括Base、A