#rsETHAttackUpdate Kelp DAO 桥被黑:DeFi 遭到 100 亿美元冲击
在2026年4月18日(星期六),加密货币市场遭遇了今年最大的 DeFi 攻击。黑客从由 LayerZero 驱动的桥中精确掏空了 116,500 rsETH,价值约 2.92 亿美元。该桥负责将 Kelp DAO 的 rsETH 代币跨链转移。此次漏洞发生在 UTC 时间 17:35 的一次单笔交易中。攻击者通过伪造的 LayerZero 数据包欺骗了该桥,并清空了 rsETH。
发生了什么?技术解析
单一 DVN 漏洞:Unichain 到以太坊的桥路由采用 1 of 1 的 DVN 设置,也就是说只有一个验证者处于激活状态。攻击者操纵 RPC 节点,创建了一个伪造的数据包,并由这唯一的验证者对其签了字。
桥被清空:以太坊上的 OFT 适配器持有 116,723 rsETH。攻击之后,仅在一个区块内,余额就骤降至 223 rsETH。
钱去哪儿了:被盗的 rsETH 中,89,567 个被作为抵押存入 Aave V3。随后,黑客以此为抵押借出了 82,650 WETH 和 821 wstETH。健康因子在 1.01 到 1.03 之间徘徊,因此这些仓位基本处于清算边缘。
Kelp DAO 团队立即启动紧急多签,并在 46 分钟内暂停了所有合约。若他们没有