资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
伪造跨链消息引发漏洞 大量资产遭恶意抵押
一起伪造的跨链消息事件导致116,500枚rsETH被异常释放,攻击者随后将其作为抵押品在Aave平台上借入WETH与wstETH。Aave随即冻结受影响市场、调整风险参数,并协同多方合作伙伴控制风险敞口、追回资金。截至2026年5月26日,恢复承诺总额已达约3亿美元,成功使116,131.72枚rsETH恢复全额抵押支撑。
第三方桥接漏洞成为攻击源头
根据Aave发布的详细事件分析,2026年4月18日的rsETH跨链桥攻击影响了多个Aave V3市场。当日17:35,Kelp的rsETH LayerZero V2桥接器接收了一条伪造的跨链消息,在以太坊上释放了116,500枚rsETH,而原链并未进行相应销毁。攻击者随后将这些资产注入Aave仓位,并以抵押品形式借出WETH与wstETH。
该漏洞源于第三方桥接基础设施而非借贷协议本身。该桥接采用一对一的去中心化验证网络配置,仅需单一验证者即可批准跨链消息。通过RPC投毒攻击,验证者对源链活动的判断遭到篡改,导致以太坊适配器释放了在原链缺乏抵押支撑的rsETH。
紧急风控措施迅速启动
攻击者将资产分散至多个地址,其中89,567枚rsETH流入以太坊核心层与Arbitrum上的八个Aave V3仓位。这些仓位共借出82,650枚WETH及821枚wstETH,期间健康因子始终维持在1.01至1.03之间。
风险暴露后,Aave协议守护者与风险管理员立即启动紧急防护:冻结rsETH与wrsETH储备、将贷款价值比率降至零,随后在多链部署中冻结WETH市场。与此同时,Kelp暂停了与漏洞相关的rsETH活动,Arbitrum安全委员会亦于4月21日冻结了攻击者关联的30,765枚ETH。
多方协作实现资产全额恢复
在风险控制过程中,Aave Labs协调发起DeFi United恢复计划,联合Lido、EtherFi基金会、Ethena、Mantle等十余家机构共同参与。截至4月25日,恢复承诺金额已突破1.6亿美元,后续逐步增至约3亿美元。
技术恢复包括清算攻击者关联仓位、销毁追回的rsETH,并通过五批次操作重新填充LayerZero适配器。至5月26日,116,131.72枚rsETH已完成再抵押,实现全额支撑恢复。目前WETH与rsETH市场已恢复正常运行,但针对资产上架流程、跨链桥依赖关系及安全标准的全面审查仍在持续进行中。
