Kelp DAO遭攻擊損失約2.92億美元,Aave稱已凍結rsETH市場
攻擊詳情與鏈上分析
根據鏈上數據顯示,某攻擊者於4月19日從Kelp DAO基於LayerZero的跨鏈橋中盜取了116,500枚rsETH,按當前市價約合2.92億美元。攻擊者控制的錢包調用了LayerZero EndpointV2合約上的lzReceive方法,該調用觸發Kelp的橋接合約向另一個攻擊者地址釋放116,500枚rsETH。攻擊者錢包在約10小時前通過Tornado Cash獲得資金。
Kelp DAO應對措施
Kelp DAO發推表示,已識別到涉及rsETH的可疑跨鏈活動,並已暫停主網及多條L2上的rsETH合約,正聯合LayerZero、Unichain及安全專家展開根因分析。
Aave採取的行動
Aave隨即凍結V3和V4上的rsETH市場,並表示若因此產生壞賬將探索彌補方案;AAVE代幣價格在事件發生後下跌約10%。這是Kelp在約一年內發生的第二起安全事件,去年4月曾因費用合約漏洞導致rsETH超額鑄造,但當時未造成用戶資金損失。
事件背景與影響
此事件是2026年以來規模最大的DeFi安全事件之一,損失約2.92至2.93億美元,直接涉及約11.65萬枚rsETH(佔rsETH總流通量約18%)。黑客通過LayerZero驅動的跨鏈橋機制,偽造跨鏈消息,導致核心合約緊急暫停,相關項目代幣價格受衝擊。