资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Aave遭遇安全漏洞并迅速采取防御措施
2026年4月18日,以太坊生态系统中发生一起重大安全事件,暴露出与去中心化金融协议Aave相关联的第三方跨链桥基础设施存在严重缺陷。此次漏洞利用的是在跨链协议Kelp上运行的rsETH LayerZero桥所采用的单验证者机制弱点。
为何该桥梁漏洞如此关键?
作为连接Unichain与以太坊的核心组件,Kelp跨链桥依赖单一验证者批准所有跨链交易。这种单验证者模式易受RPC投毒攻击的操纵。攻击导致验证者在未销毁源链上任何代币的情况下,误批准了116,500枚rsETH转入以太坊网络。欺诈交易通过桥接适配器传输并在以太坊上完成验证,导致大量rsETH异常释放。
攻击者如何实施入侵?
漏洞得逞后,攻击者将非法获取的rsETH分散至七个独立账户,并将大量资产存入以太坊和Arbitrum网络上多个Aave V3仓位作为抵押。他们以此抵押品大额借贷,同时策略性地将健康系数维持在接近清算阈值的水平以保护持仓。
将rsETH纳入Aave抵押品体系,使得协议对底层跨链桥的验证流程产生关键依赖,暴露出Aave无法直接控制的外部脆弱性。密切关注事件进展的开发人员指出:“将rsETH作为抵押资产,实际上将底层跨链桥基础设施的固有风险引入了协议内部。”
Aave及其合作方采取了哪些措施?
Aave通过其守护者系统迅速响应,立即暂停涉及rsETH与wrsETH的所有转账。该紧急冻结措施有效中和了抵押资产价值,在其生态内全面暂停了相关资产的存入与借贷功能。与此同时,Kelp团队成功控制了43,373枚rsETH。
Arbitrum安全委员会进一步阻截了30,766笔与攻击者关联的ETH交易,确保非法所得无法被利用,强化了整体应对成效。本次事件中,LayerZero集成方案在该漏洞中起到关键作用;Aave与行业伙伴的协同机制实现了资产的快速冻结;以太坊及Arbitrum等多网络的联合追缴行动有效遏制了攻击者行为;Aave的主动防御策略保障了未受影响用户与资产的安全。
事件后续,由流动性巨头组成的DeFi United发起总额达3亿美元的资产追回行动。按照Aave各市场的结构化补充方案,116,131枚rsETH的回收工作逐步推进,受影响的业务运营已恢复正常状态。
