跨链攻击引爆DeFi信任危机

4月18日,一个通过Tornado Cash清洗过的钱包向LayerZero的EndpointV2合约发送伪造的跨链消息,诱导Kelp DAO桥接合约释放116,500枚rsETH。由于该资产在源链并无真实储备,此次操作构成凭空造币。协议未识别虚假请求,致使攻击者完成资金转移。

攻击者转嫁风险:从窃取到套现

攻击者并未直接抛售被盗资产,而是将其作为抵押品存入Aave V3,借出价值约2.36亿美元的wETH。此时,尽管底层储备已被清空,但Aave仍按正常价格计算抵押率,形成严重风险敞口。此举使坏账规模扩大至1.77亿美元,且影响波及以太坊主网与多条L2生态。

系统性风险蔓延:从单点故障到连锁反应

被掏空的主网金库支撑着包括Base、Arbitrum、Linea等在内的20余条链上rsETH的跨链赎回机制。目前,约18%的rsETH已失去对应储备,引发下游持有者恐慌。一旦大规模赎回潮爆发,偿付能力将面临严峻挑战,形成反馈循环压力。

借贷板块全面冻结:信任崩塌加速

事件发生后数小时内,Aave V3/V4、SparkLend、Fluid等相继冻结rsETH市场;Ethena暂停跨链桥接;Lido Finance限制earnETH新增存款;Upshift关闭相关金库。这一系列举措反映出市场对高风险抵押品的集体规避行为。

DeFi安全再受拷问:可组合性的代价

此次事件揭示了流动性再质押代币(LRT)在跨链架构中的深层脆弱性。当协议间依赖关系日益紧密,攻击者可通过调用多个金融组件实现复杂套利。未来,所有将LRT列为高等级抵押品的协议需重新评估风险参数,可能降低供应上限或提高清算缓冲。

后续影响待观察:追回与修复之路

目前,根因分析仍在进行中。被盗资产能否追回?Aave的Umbrella后备模块是否足以覆盖赤字?各链上rsETH持有者是否会集体挤兑?这些关键问题尚未有明确答案。但可以确定的是,这场事件为整个DeFi生态敲响了系统性安全警钟。