摘要:2026年4月18日,凯尔普rsETH桥接器因单一验证节点缺陷遭攻击,导致116,500枚rsETH被伪造释放。Aave协议迅速冻结相关资产,由DeFi United牵头协调超三亿美元资金补足储备,最终实现全额恢复。
币圈界报道:
rsETH跨链桥漏洞引发大规模攻击事件
2026年4月18日,凯尔普rsETH LayerZero V2桥接系统因核心验证机制缺陷遭遇恶意入侵,攻击者通过操控单一签名节点伪造跨链指令,在以太坊上非法释放116,500枚rsETH,而未在源链Unichain执行对应销毁操作。
单点故障暴露桥接架构脆弱性
该桥接采用一对一分布式验证节点设计,所有跨链消息均由唯一节点签名确认。当该节点受RPC投毒攻击后,其对源链状态的判断被完全篡改,致使以太坊端错误接收序号为308的非法消息,而源链仍停留在序号307,形成严重状态不一致。
攻击者利用抵押机制套取借出资产
在代币被非法释放后,攻击者将其中89,567枚rsETH分置于以太坊与Arbitrum上的八个Aave V3头寸中,作为抵押品借出82,650枚WETH及821枚wstETH。所有头寸健康度维持在1.01至1.03之间,有效规避自动清算触发条件,实现高杠杆套利。
多层级应急响应遏制损失蔓延
Aave协议守护机制于当日19:00前全面冻结rsETH与wrsETH市场,贷款价值比设为零,并暂停凯尔普Spoke的WETH借贷功能。同时,凯尔普在18:00至19:00期间锁定43,373枚关联代币,阻止进一步流通。随后数日内,包括Arbitrum、Base、Mantle等多条链上的相关资产陆续被冻结,直至4月23日多个储备池全面暂停,为后续追偿创造条件。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
币安 Binance
币安交易所是全球加密货币交易所,注册奖励最高可达 500 USD!