#rsETHAttackUpdate

最近涉及Kelp DAO的rsETH代币的安全事件发生在2026年4月18日。攻击者成功从协议中提取了大约$292 百万(116,500个rsETH)。

安全分析师将此次漏洞归咎于与朝鲜有关的Lazarus集团。

攻击发生的过程

此次事件是一场针对链下基础设施的复杂攻击，而非智能合约本身的漏洞。

伪造跨链消息：攻击者通过伪造一条模仿合法交易的跨链消息，绕过了桥的安全措施。

基础设施被攻破：目标是由LayerZero支持的桥接适配器。攻击者攻破了与去中心化验证网络(DVN)相关的内部RPC节点，同时对外部节点发起了DDoS攻击。

验证失败：通过毒化验证过程，他们迫使系统依赖伪造的数据，导致桥在没有实际“销毁”或上游抵押支持的情况下，释放了116,500个rsETH在以太坊上。

抵押品被利用：在未经授权铸造这些“幻影”代币后，攻击者将其用作抵押品，在Aave上借入其他资产，造成DeFi生态系统内的流动性压力和资金外流。

立即的影响与应对

协议暂停：Kelp DAO在发现可疑活动后，立即暂停了主网和多个Layer-2网络上的rsETH合约。

DeFi防护措施：包括Aave在内的主要借贷协议，已开始冻结rsETH市场，以保护平台和用户。与Lido集成的其他协议也暂停了存款或采取了预防措施。

第二次攻击尝试：在首次盗窃后，攻击者试图再次小规模提取额外的40,000个rsETH(~$95 百万)，但在Kelp DAO将攻击者地址列入黑名单并暂停相关合约后被阻止。

此次事件引发了行业内关于桥接安全中对单点故障配置依赖的重大讨论，以及对“不变量级”监控而非仅仅验证单个调用的必要性。