2026年5月18日,Aave在六条网络上重新开放WETH借贷。危机结束了吗?基本上是。2026年DeFi史上规模最大的漏洞事件发生后,95%的无担保rsETH在三十天内得以追回。然而,根据Chainalysis的数据,仍有30,765枚ETH(约合7,100万美元)被冻结在Arbitrum上,三方当事人就归属权争执不下,曼哈顿联邦法院将作出裁决。与此同时,DeFi展现了不同寻常的一面:无需等待监管介入,便以协调方式完成了自我修复。
安全事件报告
协议
Kelp DAO (rsETH Bridge)
被盗金额
$292M(116,500 rsETH)
链
以太坊 + 20条L2(Arbitrum、Base、Linea、Unichain、Mantle、Scroll)
日期
2026年4月18日 · 17:35 UTC
攻击向量
攻击者入侵了为LayerZero Labs去中心化验证网络(DVN)提供数据的RPC节点,同时对未受攻陷的节点发动DDoS攻击使其下线。被感染节点随即注入一条来自Unichain的伪造跨链消息,诱使以太坊合约在毫无底层支撑的情况下释放116,500枚rsETH。根本原因:DVN采用1-of-1配置,存在单点故障。
协议响应
Kelp于18:21 UTC(漏洞发生后46分钟)暂停核心合约,阻断了后续两次总额约1亿美元的攻击尝试。Aave、SparkLend和Fluid随即冻结rsETH市场。4月21日,Arbitrum安全委员会冻结30,765枚ETH。4月23日,Aave联合Lido、EtherFi及Stani Kulechov发起DeFi United行动。
来源:Chainalysis、Hypernative、CoinDesk · 2026年4月18日
据Chainalysis与CoinDesk报道,攻击者入侵了为LayerZero Labs DVN提供数据的RPC节点,并对未受攻陷节点实施DDoS攻击,使其强制下线。被感染节点随后注入一条来自Unichain的伪造跨链消息,欺骗以太坊合约在毫无资产支撑的情况下释放116,500枚rsETH。DVN的1-of-1配置是此次事件的根本漏洞所在。
Kelp于18:21 UTC暂停核心合约(距漏洞发生仅46分钟),阻止了后续两次合计约1亿美元的攻击尝试。Aave、SparkLend和Fluid相继冻结rsETH市场。4月21日,Arbitrum安全委员会冻结30,765枚ETH。4月23日,Aave携手Lido、EtherFi及Stani Kulechov共同发起DeFi United。
追回进度(截至2026年5月18日)
- 无担保rsETH创建量 112,103
- 已追回rsETH总量 106,993(95.4%)
- 通过Aave清算追回 89,567 rsETH
- 通过Compound追回 17,426 rsETH
- 剩余缺口(DeFi United负责) 约5,200 rsETH
- DeFi United募集资金 $327.95M
来源:Aave治理论坛 · CoinDesk · 2026年5月18日
来源:Aave治理论坛 · CoinDesk · 2026年5月18日
DeFi United如何重建Lazarus组织摧毁的资产
2026年4月23日,漏洞发生后第五天。Aave创始人Stani Kulechov宣布个人捐出5,000枚ETH。Lido Finance随即跟进,贡献2,500枚stETH(约合570万美元);EtherFi也提出5,000枚ETH的支持方案。这一行动被命名为DeFi United:一个在数周内由行业自发组建的协调性救援基金,没有任何机构授权背书。根据Aave治理论坛公告,其目标是填补rsETH缺口、阻止系统性连锁清算。最终,该基金共募集3.279亿美元,是所需资金的四倍。这一联盟在监管机构介入之前便已完成自我组织。关于此次原始攻击的完整背景,可参阅:Kelp DAO:rsETH LayerZero跨链桥2.92亿美元漏洞。Kelp与LayerZero之间的技术争议分析,参见:LayerZero指控Lazarus组织,Kelp就DVN配置问题作出回应。
On April 18 at 17:35 UTC, an attacker drained 116,500 rsETH (~$292M, ~18% of circulating supply) from Kelp DAO's LayerZero-powered bridge.
,CredShields (@CredShields) April 19, 2026
$292M drained, 2026's largest DeFi hack so far.
Here's how it unfolded and what it means. 👇 https://t.co/D7i53vaj6p
5月18日,Aave正式恢复了六个V3部署(以太坊Core、以太坊Prime、Arbitrum、Base、Mantle和Linea)上WETH的抵押率参数,恢复至漏洞前水平。官方公告于07:05 UTC发布在X平台上。对DeFi用户而言,这意味着生态内最重要的借贷市场再度全面运作:在六条网络上以ETH作为抵押品进行借贷的功能已恢复,流动性回归,此前被迫搁置一个月的杠杆策略也重新可以执行。
Kelp DAO漏洞始末:谁来承担损失?
据LayerZero和Chainalysis的调查重建,朝鲜拉撒路组织(Lazarus Group)实施了一场三阶段攻击。首先,攻击者入侵了为跨链桥验证器提供数据的两个RPC节点;随后,对未受攻陷节点发动DDoS攻击,迫使其下线,使被控节点成为唯一数据来源;最后,注入一条来自Unichain的伪造跨链消息,命令以太坊合约释放116,500枚rsETH,仿佛Unichain上已发生了一笔合法交易。但实际上什么都没发生。彼时Unichain上的rsETH流通量约为49枚,而那条消息写的是116,500。合约照单执行。
DVN的1-of-1配置是系统的脆弱之处:单一验证器,零冗余校验。Kelp方面坚称,这是部署时LayerZero的默认配置;LayerZero则表示曾建议使用多个验证器。据攻击发生时公布的数据,目前仍有40%在LayerZero上运行的协议沿用同一配置。关于加密资产机构化采用趋势,可参阅:比特币:从零售热潮到机构采用。
7,100万美元冻结资产与法律争夺战
4月21日,Arbitrum安全委员会冻结了30,765枚ETH(行动时价值约7,100万美元),这些资产从与攻击者相关的链上转移记录中追回。原本计划将其归还给受损用户。然而5月5日,代表美国恐怖主义受害者的律师向纽约南区联邦地区法院提交申请,援引《恐怖主义风险保险法》(TRIA),主张这批资金属于“朝鲜国家财产”,因此可被扣押,用于偿付此前已获批的对平壤索赔判决。
Aave随即向法院提交意见书:这批资金属于协议用户,与朝鲜无关。持续冻结将导致“连锁清算和不可逆损失”,殃及与拉撒路组织毫无关联的普通用户。对方随后在5月6日的补充申请中反将一军:Aave自身的服务条款明确声明其对用户资产不拥有“所有权、托管或控制权”。既然如此,Aave在法庭上又凭什么主张对这批资产的权利?DeFi United目前募集的3.27亿美元已是争议金额的四倍有余,从财务角度看,这7,100万美元对追回进程并非必不可少。但从法律层面而言,此案所确立的先例影响深远。
目前,据攻击发生时发布的数据,LayerZero上仍有40%的协议采用单一验证器配置。DeFi安全任务组SEAL-911指出,Kelp于4月18日18:26 UTC阻断的第二次攻击若得逞,将额外损失约2亿美元。系统在触发暂停前运行了46分钟。对于一个处理数十亿美元资产的跨链桥而言,这已是漫长的时间。整个行业至今悬而未决的问题是:还有多少生产环境中的合约,仅仅因为没有人更新配置,今天仍会接受一条类似4月18日的伪造签名?HKMA及全球各主要监管机构对此保持密切关注,香港和新加坡等亚洲DeFi市场同样需要审视自身跨链基础设施的安全配置,以防类似风险重演。
