🔥 WCTC S8 全球交易赛正式开赛!
8,000,000 USDT 超级奖池解锁开启
🏆 团队赛:上半场正式开启,预报名阶段 5,500+ 战队现已集结
交易量收益额双重比拼,解锁上半场 1,800,000 USDT 奖池
🏆 个人赛:现货、合约、TradFi、ETF、闪兑、跟单齐上阵
全场交易量比拼,瓜分 2,000,000 USDT 奖池
🏆 王者 PK 赛:零门槛参与,实时匹配享受战斗快感
收益率即时 PK,瓜分 1,600,000 USDT 奖池
活动时间:2026 年 4月 23 日 16:00:00 -2026 年 5 月 20 日 15:59:59 UTC+8
⬇️ 立即参与:https://www.gate.com/competition/wctc-s8
#WCTCS8
#rsETHAttackUpdate
2026年4月18日爆发的 rsETH 漏洞事件,是今年加密货币行业中规模最大的安全事故:约有2.937亿美元从 KelpDAO 的流动再质押协议中被盗走。此次攻击利用了协议桥接合约中的漏洞,形成连锁效应,波及多个 DeFi 平台,并暴露了跨链基础设施中的关键系统性风险。
此次攻击手法虽然复杂,但遵循了此前桥接漏洞中常见的模式。肇事者利用被攻破的桥接合约,生成未被担保的 rsETH 代币,然后将这些代币作为抵押品,存入包括 Aave V3、Compound V3 和 Euler 在内的多家主要借贷协议。通过使用这些非法获得的资产,攻击者借出了大量 WETH 与 wstETH,进而累计形成超过$236 百万美元的坏账。被盗资金在以太坊主网与 Arbitrum 之间拆分,分别为$178 百万美元与$72 百万美元,体现了该漏洞的跨链特性。
Aave 成为受影响最严重的协议:约有2.2139亿美元的“受污染”rsETH 抵押品被用来借出约1.9086亿美元的 WETH,以及233万美元的 wstETH,覆盖以太坊与 Arbitrum 上的两个实例。该协议的服务提供商发布了事故报告,列出了两种坏账情景,金额范围从1.237亿美元到2.301亿美元;这促使立即采取风险缓解措施,包括冻结 Aave V3 和 V4 上的 rsETH 市场。该举措阻止了新增存款,但仍使既有仓位暴露,触发用户资产从该协议中发生大规模外流:10.1亿美元。
此次“传染”效应不仅限于 Aave,至少扩展至共计九个协议。Fluid 确认已暂停所有可能存在 rsETH 暴露的市场;Compound 的安全合作伙伴提交了4项治理提案,以调整受影响的 Comets 的风险参数。SparkLend 冻结了其风险暴露,Euler 则采取措施遏制风险的扩散。上述跨协议影响表明:在 DeFi 的互联架构中存在根本性脆弱点——资产若深度嵌入借贷、金库与流动性协议,就可能在瞬间传导失效。
在识别到可疑的跨链活动后,KelpDAO 的应对措施是在以太坊主网以及若干二层网络上立即暂停相关合约。团队宣布与 LayerZero、Unichain、其审计方以及安全专家合作开展根本原因分析。然而,KelpDAO 与受影响协议之间的沟通似乎十分紧张:有报道称,LayerZero 在自2024年7月以来开启了沟通渠道的情况下,并未就 rsETH 的 DVN 配置变更提出具体建议。
此次事件也引发了对再质押生态系统中“桥接安全性”的严肃质疑。正如 Cyvers 的安全专家所指出的:通过被攻破的桥接路径创建未被担保的合成资产,并随后用其去借用真实资产——这正是此类漏洞迅速升级的方式。该攻击表明,将资产分散到多条链上并不会按比例分散风险;在 DeFi 中,桥接设计已成为资产风险画像中不可分割的一部分。
行业观察人士指出,此次事件与此前 Drift Protocol 的漏洞事件存在相似之处,后者为$280 百万美元;而此次攻击已超越该事件。利用被攻破的抵押品在多个平台制造坏账的模式,表明当前的风险管理框架可能不足以应对现代跨链 DeFi 的复杂性。Aave 社区预计将讨论是否应将 rsETH 从所有市场中永久下架,类似做法在之前的坏账事件之后已经出现并逐渐固化。
余波仍在持续:各协议在评估自身风险敞口并落实补救措施。该事件无情地提醒人们:在 DeFi 的互联格局中,安全性只取决于集成协议链条中的最薄弱环节。随着行业消化本次漏洞带来的影响,重点已转向构建更强健的跨链风险评估框架,并在发现漏洞时提升协议之间的协同与配合。
2026年4月18日发生的rsETH漏洞事件是今年加密货币行业最大的安全事件,约有2.937亿美元从KelpDAO的流动再质押协议中被盗。此次攻击利用了协议桥接合约的漏洞,造成了连锁反应,波及多个DeFi平台,并暴露了跨链基础设施中的关键系统性风险。
此次攻击手法复杂,但遵循了此前桥接漏洞中常见的模式。攻击者利用被攻破的桥接合约生成了无担保的rsETH代币,然后将其作为抵押品存入包括Aave V3、Compound V3和Euler在内的主要借贷协议。通过使用这些非法获得的资产,攻击者借出了大量的WETH和wstETH,造成超过$236 百万美元的坏账。被盗资金在以太坊主网和Arbitrum之间分割,分别为$178 百万和$72 百万,展现了此次漏洞的跨链特性。
Aave成为受影响最严重的协议,约有2.2139亿美元的受污染rsETH抵押品被用来借出约1.9086亿美元的WETH和233万美元的wstETH,涉及以太坊和Arbitrum两个链上的实例。该协议的服务提供商发布了事故报告,列出了两个坏账场景,金额范围从1.237亿美元到2.301亿美元,促使立即采取风险缓解措施,包括冻结Aave V3和V4上的rsETH市场。这一措施阻止了额外的存款,但也使现有仓位暴露,导致用户资产迅速撤出,协议内资产流出达101亿美元。
此次传染效应不仅限于Aave,至少波及九个协议。Fluid确认已暂停所有可能涉及rsETH的市场,Compound的安全合作伙伴提交了四项治理提案,以调整受影响的Comet协议的风险参数。SparkLend冻结了其相关资产,Euler则采取措施控制风险扩散。这一跨协议的影响凸显了DeFi互联架构中的根本脆弱性,即资产在借贷、金库和流动性协议中深度整合,可能瞬间传递失败。
KelpDAO在发现可疑的跨链活动后,立即暂停了主网和多个Layer-2网络的合约。团队宣布与LayerZero、Unichain、审计方及安全专家合作进行根本原因分析。然而,KelpDAO与受影响协议之间的沟通似乎存在紧张,有报告指出,LayerZero自2024年7月以来虽保持开放沟通渠道,但尚未就rsETH DVN配置的变更提出具体建议。
此次事件引发了对再质押生态系统中桥接安全性的严重质疑。正如Cyvers安全专家所指出,通过被攻破的桥接路径创建无担保合成资产并用其借出真实资产,正是此类漏洞迅速扩散的典型表现。此次攻击表明,将资产分散在多个链上并不能按比例分散风险,桥接设计已成为DeFi中资产风险配置不可分割的一部分。
行业观察人士指出,此次事件与早期的Drift Protocol价值$280 百万美元的漏洞类似,而此次事件已超越了它。利用被攻破的抵押品在多个平台制造坏账的模式表明,现有的风险管理框架可能不足以应对现代跨链DeFi的复杂性。Aave社区预计将讨论是否应将rsETH从所有市场中永久下架,这一做法在之前的坏账事件后已逐渐成为趋势。
事态仍在持续发展,协议方正评估其风险敞口并采取补救措施。这一事件再次提醒我们,在DeFi的互联格局中,安全性仅如链中最弱环节般脆弱。随着行业应对这次漏洞的影响,未来的重点将转向建立更为稳健的跨链风险评估框架,以及在发现漏洞时加强协议间的协调合作。