🔥 WCTC S8 全球交易赛正式开赛!
8,000,000 USDT 超级奖池解锁开启
🏆 团队赛:上半场正式开启,预报名阶段 5,500+ 战队现已集结
交易量收益额双重比拼,解锁上半场 1,800,000 USDT 奖池
🏆 个人赛:现货、合约、TradFi、ETF、闪兑、跟单齐上阵
全场交易量比拼,瓜分 2,000,000 USDT 奖池
🏆 王者 PK 赛:零门槛参与,实时匹配享受战斗快感
收益率即时 PK,瓜分 1,600,000 USDT 奖池
活动时间:2026 年 4月 23 日 16:00:00 -2026 年 5 月 20 日 15:59:59 UTC+8
⬇️ 立即参与:https://www.gate.com/competition/wctc-s8
#WCTCS8
#AaveLaunchesrsETHRecoveryPlan
2026年DeFi最大危机及随之而来的行业救援
震撼DeFi基础的黑客事件
2026年4月18日将被铭记为去中心化金融历史上最黑暗的日子之一。一名攻击者利用Kelp DAO的由LayerZero支持的桥梁,成功提取了116,500个rsETH——约2.92亿美元,约占该代币流通总量的18%——引发了核心合约的紧急暂停。由于该桥在超过20个网络上持有支持rsETH的储备,这一损失立即引发了对layer 2上rsETH支持的质疑,并引发了Aave、SparkLend和Fluid等协议的市场冻结潮。
此次攻击既非随机也非粗糙。初步迹象显示,攻击归因于朝鲜的Lazarus集团,特别是TraderTraitor。关键的是,这不是智能合约黑客攻击,而是对链下基础设施的复杂攻击——攻击者攻破了内部RPC节点,并对外部节点发起DDoS攻击,以向单点故障验证网络提供虚假数据。这一手法欺骗了以太坊合约,使其基于源链上的虚假代币燃烧释放资金。
不到一小时内,区块链史上最复杂、最协调的盗窃之一就已完成——而损失的影响远远超出KelpDAO本身,直接波及全球最大的DeFi借贷协议Aave的账面。
---
黑客实际操作方式:46分钟的混乱大师课
要理解危机的规模,必须精准理解攻击的机制。此次漏洞利用大约在2026年4月18日UTC 18:52开始,历时约46分钟。攻击者利用了KelpDAO的LayerZero桥配置中的缺陷——特别是验证跨链消息的1对1DVN(单签名验证)。攻击者并未攻破区块链本身——他们操控了验证消息的系统,告诉一条链另一条链上存在该代币。
此次攻击的操作复杂程度令人震惊。被篡改的节点向LayerZero的DVN提供了伪造数据,同时继续向其他查询系统(包括监控服务)返回真实数据。它们还被设计成在攻击窗口关闭后自毁,清除恶意二进制文件、日志和配置。与此同时,攻击者对外部RPC节点发起了分布式拒绝服务(DDoS)攻击,迫使DVN依赖被攻破的内部节点。
Kelp的应急多签钱包在成功提取资金46分钟后冻结了协议的核心合约。随后两次尝试也都失败了,每次都试图进行大规模提款。攻击者有条不紊、准备充分,操作水平堪比国家支持的能力。
---
责任归属:KELPDAO对比LAYERZERO
漏洞曝光后几乎立即,KelpDAO与LayerZero之间爆发了责任争议。LayerZero声称受影响的配置依赖于1对1DVN设置,这与推荐的多验证者安全实践相矛盾。
KelpDAO反驳称,受损的基础设施属于LayerZero本身,且类似配置在整个生态系统中被广泛使用。这一分歧迅速在加密空间蔓延,数亿美元的用户资金仍处于被攻破状态。
---
AAVE:外部漏洞的抵押品受害者
在责任争论的同时,Aave面临财务冲击。攻击者借用了超过82,600 ETH——约1.95亿美元——以被盗的rsETH作为抵押,造成了大量坏账。
Aave确认其系统未被攻破,但影响立竿见影。用户大量提取流动性,导致约100亿美元的资金外流,总锁仓价值急剧下降。市场信心受挫,迫切采取行动。
---
DEFI联合:救援联盟集结
随后出现了前所未有的行业协调恢复行动,名为DeFi United,旨在稳定生态系统并恢复信心。
主要贡献者承诺提供支持。总承诺金额达数万ETH,包括协议、公司和行业领袖的贡献。该行动旨在恢复rsETH的支持,保护受影响用户。
这是去中心化金融中罕见的团结时刻——由真实资本支持的集体响应。
---
25,000 ETH提案:AAVE DAO走向治理
恢复计划的核心是Aave DAO提出的治理提案,建议从其金库中贡献25,000 ETH。
该提案包括有结构的条件和依赖关系,包括重新开放提款、恢复桥梁运作和释放冻结资金。它还允许使用金库资产和未来收入作为恢复框架的一部分。
这代表了DeFi历史上最大规模的协调恢复承诺之一。
---
Mantle的生命线:结构化信贷设施
除了直接贡献外,Mantle还提出了最高30,000 ETH的信贷额度,以支持Aave。
该信贷包括结构化还款条款、与质押收益挂钩的利率,以及与协议收入和治理代币相关的抵押要求。这一机制提供了长期的财务弹性,而非迫使立即清算。
---
Arbitrum冻结资金:关键环节
恢复的关键部分是Arbitrum安全委员会冻结的约30,766 ETH。
已提出将这些资金转入恢复池的方案,但治理时间表可能会延迟资金的调度,带来不确定性。
---
数字现状:进展但尚未完成
到2026年4月底,已筹集约1.6亿美元用于弥补损失,仍有差距待填补。
恢复工作仍在进行中,依赖于治理批准、资金释放和承诺的落实。
---
更深的教训:DeFi的结构性弱点
此次危机凸显了去中心化金融的根本问题——跨链桥的脆弱性。
此次漏洞并非智能合约缺陷,而是验证系统的漏洞,这些系统支撑着跨链通信。它们仍是DeFi基础设施中最薄弱的环节之一。
行业已通过升级和加强安全措施作出回应,但更广泛的挑战仍未解决。
Aave 发起了一项名为“DeFi 联合”的大规模恢复行动,旨在应对由 KelpDAO 桥接漏洞造成的 $292 百万 rsETH 短缺,前所未有地汇聚了主要的 DeFi 协议,展现行业团结。
事件概述:
2026年4月18日,Kelp DAO 遭遇了一次毁灭性的 $292 百万 桥接漏洞,将其广泛使用的 rsETH (重新质押的 ETH) 代币从可信的抵押资产变成系统性协议风险的源头。此次攻击归咎于朝鲜黑客组织 TraderTraitor,目标是 Kelp 的跨链桥基础设施。
攻击详情:
- 被盗总额:$292 百万 加密货币
- 额外阻止的攻击:40,000 rsETH (-$95 百万)
- 方法:利用 1-对-1 验证器配置
- 主要目标:跨链桥验证流程
DeFi 联合恢复计划:
为了防止漏洞在 DeFi 生态系统中蔓延,Aave 启动了“DeFi 联合”——一项由行业主要参与者共同发起的协调恢复行动,致力于恢复 rsETH 支持并防止系统性传染。
主要参与者:
- Aave:领导恢复行动
- Lido:主要的流动性质押提供者
- EtherFi:重质押协议
- Ethena:合成美元协议
- 其他主要 DeFi 协议:贡献救助基金
Aave 的承诺:
Aave 创始人兼 CEO Stani Kulechov 已个人承诺向救助基金捐赠 5,000 ETH,展现领导责任。Aave DAO 也在考虑提供 25,000 ETH 的巨额金库贡献,以帮助恢复 Kelp DAO 的 rsETH 支持。
立即的协议响应:
漏洞发生后,Aave 采取果断行动控制风险:
2026年4月18日:
- 冻结所有实例中的 rsETH 市场
- 阻止对 rsETH 抵押品的新借款
- 启动应急协议
2026年4月19日:
- 冻结多个实例中的 WETH 市场
- 调整非核心市场的利率
- 在核心市场实施 WETH 利率调整
- 监控 rsETH 事件的后续影响
攻击者的 Aave 策略:
令人惊讶的是,攻击者没有立即抛售被盗的 rsETH,而是在以太坊和 Arbitrum 网络中,将近 90,000 rsETH 存入 Aave 作为抵押品。这使他们能够借出约 $190 百万 ETH 和其他资产,形成复杂的清算场景。
恢复方案:
Aave 治理已提出多种应对坏账的方法:
方案一:统一分担损失
- 损失在所有 WETH 市场中分摊
- 以太坊核心 WETH 也被纳入削减
- 影响广泛但保持系统稳定
方案二:损失局限于 L2 rsETH
- 影响仅限于 Layer 2 市场
- 以太坊核心市场受到保护
- L2 参与者的损失集中
技术实施:
Aave 已与 KelpDAO 和 LayerZero 达成协议,制定实施恢复计划的技术步骤。合作重点包括:
- 桥接安全性提升
- 验证机制升级
- 多分散验证器网络((Decentralized Verifier Network))配置
- 增强监控系统
结构性问题:
Kelp DAO 的漏洞突显了 DeFi 基础设施中的关键脆弱性:跨链桥虽然被宣传为去中心化基础设施,但仍是单点故障。Kelp 依赖“1-对-1 验证器配置”使攻击者得以污染验证过程。
LayerZero 的立场:
LayerZero 作为底层消息传递协议,指出此前曾建议 Kelp DAO 从单一验证器配置迁移。公司强调“没有任何单一验证器应成为单方面的信任或失败点”。
Kelp DAO 的回应:
Kelp DAO 指出 LayerZero 的文档,说明单一验证器配置是官方推荐的方案。协议暂停了相关合约,并将攻击者的钱包列入黑名单,成功阻止了第二次攻击。
朝鲜的关联:
此次漏洞归咎于朝鲜 TraderTraitor 黑客组织,属于该政权持续进行的加密货币盗窃行动。2025年,朝鲜黑客盗取了超过 -9223372036854775808亿的加密货币,自2017年以来总盗窃金额估计约 -9223372036854775808亿。
行业影响:
对 DeFi 安全:
- 需要增强跨链桥的安全模型
- 多签验证变得至关重要
- 需要实时监控系统
- 桥接风险的保险机制
对协议治理:
- 紧急响应程序
- 金库分配用于恢复
- 多协议协调
- 风险评估框架
对用户:
- 多样化抵押资产
- 了解桥接风险
- 监控协议健康
- 使用保险产品
市场影响:
AAVE 代币已成为恢复努力成功的情绪指标。虽然价格走势不能完全解释风险的规模,但市场反应反映了对“DeFi 联合”计划的信心。
会计与监管问题:
此次漏洞引发了关于:
- DAO 控制与集中
- 协议费用的收入确认
- 治理风险披露
- 保险与恢复会计
- 跨链资产的监管合规
教训总结:
技术方面:
- 必须消除单点故障
- 验证机制需具备冗余
- 实时监控至关重要
- 紧急暂停功能可拯救资金
治理方面:
- 多协议协调是可行的
- 行业团结在危机中至关重要
- 金库储备提供稳定
- 领导层承诺增强信心
风险管理:
- 桥接风险具有系统性
- 抵押品多样化至关重要
- 保险产品需开发
- 用户教育至关重要
展望未来:
DeFi 联合恢复计划代表了行业的一个转折点。如果成功,将证明 DeFi 能够自我组织,应对系统性威胁,无需中心化干预。
恢复工作仍在进行中,Stani Kulechov 表示 Aave 和合作伙伴“不断努力”。其结果可能会影响未来 DeFi 架构、治理模型和风险管理实践。
关键指标:
- rsETH 挂钩恢复
- 不良债务解决进展
- AAVE 代币表现
- 跨链桥升级
- 保险产品开发
KelpDAO 漏洞及随后的恢复行动最终可能通过暴露漏洞和展示行业在危机中集体行动的能力,增强 DeFi 的韧性。
$2