跨链桥漏洞暴露去中心化金融协议外部风险

2026年4月18日,以太坊生态系统中发生一起重大安全事件,暴露出与去中心化金融协议Aave相关联的第三方跨链桥基础设施存在严重缺陷。此次漏洞利用的是在跨链协议Kelp上运行的rsETH LayerZero桥所采用的单验证者机制弱点。作为连接Unichain与以太坊的核心组件,该桥依赖单一验证者批准所有跨链交易,这种设计极易受到RPC投毒攻击的操纵。攻击导致验证者在未销毁源链代币的情况下,误批准了116,500枚rsETH转入以太坊网络。欺诈交易通过桥接适配器传输并在以太坊上完成验证,造成大量rsETH异常释放。

攻击路径与策略性持仓分析

漏洞得逞后,攻击者将非法获取的rsETH分散至七个独立账户,并将大量资产存入以太坊和Arbitrum网络上多个Aave V3仓位作为抵押。他们以此抵押品大额借贷,同时策略性地将健康系数维持在接近清算阈值的水平以保护持仓。将rsETH纳入Aave抵押品体系,使得协议对底层跨链桥的验证流程产生关键依赖,暴露出Aave无法直接控制的外部脆弱性。密切关注事件进展的开发人员指出:“将rsETH作为抵押资产,实际上将底层跨链桥基础设施的固有风险引入了协议内部。”

紧急响应与多链协同防御机制启动

Aave通过其守护者系统迅速响应,立即暂停涉及rsETH与wrsETH的所有转账。该紧急冻结措施有效中和了抵押资产价值,在其生态内全面暂停了相关资产的存入与借贷功能。与此同时,Kelp团队成功控制了43,373枚rsETH。Arbitrum安全委员会进一步阻截了30,766笔与攻击者关联的ETH交易,确保非法所得无法被利用,强化了整体应对成效。本次事件中,LayerZero集成方案在该漏洞中起到关键作用;Aave与行业伙伴的协同机制实现了资产的快速冻结;以太坊及Arbitrum等多网络的联合追缴行动有效遏制了攻击者行为;Aave的主动防御策略保障了未受影响用户与资产的安全。

大规模资产追回行动推进中

事件后续,由流动性巨头组成的DeFi United发起总额达3亿美元的资产追回行动。按照Aave各市场的结构化补充方案,116,131枚rsETH的回收工作逐步推进,受影响的业务运营已恢复正常状态。此次事件再次凸显去中心化金融生态中资产存储与交易活动之间的深层关联,也反映出跨链协议安全性对主网稳定性的直接影响。