DeFi安全领域再次遭遇重大挫折,Kelp DAO的rsETH桥接合约遭受大规模攻击,导致损失高达近2.92亿美元。这一事件迅速引发加密市场广泛担忧,尤其是在被盗资产流入Aave及其他主要借贷协议后,引发了关于坏账和更广泛协议风险的恐慌。
Kelp DAO黑客事件始末
攻击者利用基于LayerZero构建的rsETH桥接合约漏洞,盗取约116,500枚rsETH(价值约2.92亿美元)。链上记录显示,攻击者通过LayerZero的EndpointV2合约触发lzReceive函数,使得桥接资产被转移至黑客控制的钱包。
攻击手法解析
安全研究人员认为,源链私钥遭泄露是事件根源,这使得看似合法的恶意消息得以通过桥接系统。由于该合约采用1/1验证者设置,单一验证者被攻陷便形成了危险的单点故障。
Aave为何卷入风波
黑客将被盗rsETH作为抵押品,通过流动性更强的WETH进行大规模借贷。当攻击者将赃款存入Aave V3、Compound V3和Euler后,总借款额超2.36亿美元,其中仅Aave平台就承担近1.96亿美元风险敞口。
Aave的危机应对
Aave紧急冻结了V3和V4版本的rsETH市场,暂停新增存款并禁止相关资产借贷。团队强调协议本身未被直接攻击,但为防范借款资金可能引发的坏账,已准备启动Umbrella安全模块应对潜在损失。
事件的警示意义
本次攻击暴露出单一协议失效如何快速传导至多平台的风险。尽管漏洞起源于Kelp DAO,但赃款流向Aave等借贷协议的现象,引发了关于流动性、抵押品安全性乃至顶级DeFi平台能否完全隔离外部风险的深刻反思。
总结
Kelp DAO事件凭借2.92亿美元损失成为年度最严重DeFi攻击之一,更因其对Aave等主流协议的连锁冲击备受关注。该事件既凸显了跨链桥安全隐患可能引发的系统性风险,也提醒用户:即便头部DeFi平台也难以完全规避外部合约漏洞的波及。
