币圈界报道：

跨链桥缺陷致Aave协议遭入侵，多方协同紧急封堵

2026年4月18日，以太坊生态爆发一起关键性安全危机，根源指向与Aave深度集成的第三方跨链桥基础设施。该漏洞源于Kelp网络上运行的rsETH LayerZero桥所采用的单一验证节点架构，使其易受RPC投毒攻击，导致异常交易被错误批准。

单点验证机制成安全突破口，跨链资产被非法释放

Kelp跨链桥作为Unichain与以太坊间的核心通道，依赖唯一验证者对所有交易进行确认。这一设计缺陷使攻击者得以操控验证流程，在未销毁源链代币的前提下，伪造116,500枚rsETH的跨链转移指令。通过桥接适配器完成验证后，大量rsETH在以太坊网络中被非正常释放，形成系统性风险敞口。

恶意资金分拆存入多链仓位，策略性规避清算机制

攻击者将非法获取的rsETH分散至七个独立钱包，并将其注入以太坊与Arbitrum上的多个Aave V3市场作为抵押品。借助精细化风险管理策略，其将健康系数维持在接近清算阈值的位置，有效防止资产被强制清算，实现对非法所得的长期持有与隐蔽操作。

协议联动响应：冻结、拦截与追缴三重防线构建

Aave依托其守护者机制迅速切断涉及rsETH与wrsETH的所有转账路径，全面暂停相关资产的存入与借贷功能，及时阻断风险扩散。与此同时，Kelp团队成功锁定43,373枚被盗资产。Arbitrum安全委员会同步介入，拦截30,766笔与攻击者相关的ETH交易，彻底封堵资金流转路径。

本次事件凸显了底层跨链协议对上层DeFi协议的深远影响。行业观察者指出：“将外部跨链资产纳入抵押体系，实质上将不可控的链外风险引入协议内部。”然而，多链协作机制展现出强大韧性——从以太坊到Arbitrum，联合行动实现了资产冻结与追踪的高效协同。

事后，由头部流动性提供方组成的DeFi United发起总额达3亿美元的专项追偿计划。依据Aave各市场的结构化修复方案，116,131枚rsETH的回收工作有序推进，核心业务已恢复正常运营状态。