#rsETHAttackUpdate

2026年4月18日發生的rsETH漏洞事件，成為今年加密貨幣行業最大的一起安全事故，約有2.937億美元的資金從KelpDAO的流動再抵押協議中被盜。此次攻擊利用了該協議橋接合約的漏洞，造成連鎖反應，波及多個DeFi平台，暴露了跨鏈基礎設施中的關鍵系統性風險。

攻擊手法雖然複雜，但遵循了過去橋接漏洞中常見的模式。攻擊者利用被破壞的橋接合約產生無擔保的rsETH代幣，然後將其作為抵押品存入包括Aave V3、Compound V3和Euler在內的主要借貸協議。通過這些非法獲得的資產，攻擊者借入大量WETH和wstETH，造成超過$236 百萬美元的壞帳。被盜資金分別在以太坊主網和Arbitrum上，分別達到$178 百萬美元和$72 百萬美元，展現了此次攻擊的跨鏈特性。

Aave成為受影響最嚴重的協議，約有2.2139億美元的受污染rsETH抵押品被用來借出約1.9086億美元的WETH和233萬美元的wstETH，涉及以太坊和Arbitrum兩個鏈上的操作。該協議的服務提供商發布了事故報告，指出存在兩個壞帳情景，金額範圍從1.237億美元到2.301億美元不等，並立即採取風險緩解措施，包括凍結Aave V3和V4上的rsETH市場。此舉阻止了額外的存款，但也使現有頭寸暴露，導致用戶資產迅速撤出，達到約101億美元的巨大資金外流。

傳染效應不僅限於Aave，至少波及九個協議。Fluid確認已暫停所有可能涉及rsETH的市場，Compound的安全合作夥伴提交了四份治理提案，以調整受影響的Comet的風險參數。SparkLend也停止了其暴露，Euler則著手控制擴散的風險。這種跨協議的影響凸顯了DeFi互聯架構中的根本脆弱性，即資產在借貸、金庫和流動性協議中深度整合，能夠瞬間傳播失效。

KelpDAO的應對措施是在發現可疑的跨鏈活動後，立即在主網和多個Layer-2網絡中暫停合約。團隊宣布與LayerZero、Unichain、審計公司及安全專家合作，進行根本原因分析。然而，KelpDAO與受影響協議之間的溝通似乎存在緊張，有報導指出，LayerZero自2024年7月以來，雖然保持開放的溝通渠道，但尚未針對rsETH DVN配置提出具體建議。

此次事件引發了對於再抵押生態系統中橋接安全性的嚴肅質疑。正如Cyvers安全專家所指出的，通過被破壞的橋接通路創建無擔保合成資產，並進一步用於借入真實資產，正是此類漏洞迅速擴散的典型表現。此次攻擊證明，資產跨多條鏈分散並不等於風險的分散，橋接設計已成為DeFi中資產風險配置不可分割的一部分。

行業觀察人士指出，此次事件與早前的Drift Protocol價值$280 百萬美元的漏洞事件相似，且已超越了該事件。利用受損抵押品在多個平台產生壞帳的模式，顯示現有的風險管理框架可能不足以應對現代跨鏈DeFi的複雜性。Aave社群預計將討論是否應永久下架rsETH，這也是在過去壞帳事件後出現的常見做法。

事態仍在持續發展中，各協議正評估其風險暴露並實施補救措施。此次事件嚴重提醒我們，在DeFi的互聯格局中，安全性僅取決於鏈中最脆弱的環節。隨著行業努力應對這次漏洞的影響，重點已轉向建立更為強健的跨鏈風險評估框架，以及在發現漏洞時加強協議間的協調合作。