KelpDAO跨链桥遭攻击,116,500枚rsETH被转出,Aave连锁承压
KelpDAO基于LayerZero的跨链桥遭到攻击,攻击者转出约116,500枚rsETH(约2.92亿美元)。KelpDAO在约46分钟后紧急暂停相关合约,阻止了后续两次攻击。攻击者将大部分rsETH存入Aave借出ETH,引发Aave流动性紧张,超过54亿美元资产撤离,Aave代币价格下跌约10%。
KelpDAO基于LayerZero的跨链桥遭到攻击,攻击者从中转出约116,500枚rsETH,按事发时价格折算约2.92亿美元。事件发生约46分钟后,KelpDAO启动紧急多签暂停,冻结了LRT存款池、提现合约、预言机及rsETH代币等核心组件,主网及多个L2上的相关合约均已停止运行。KelpDAO表示正与LayerZero等方共同开展根因分析,具体技术漏洞细节尚未公开。
暂停措施生效后,攻击者随后发起的两次后续攻击均告失败。攻击者此前曾试图额外转出约40,000枚rsETH(约1亿美元),若该操作成功,总损失规模将扩大至约3.91亿美元,但该数字属假设性估算,实际据公开信息损失为约2.92亿美元。
攻击者将大部分盗取的rsETH存入Aave V3与V4作为抵押,借出ETH,少部分直接出售换成ETH,合计获取约106,466枚ETH(约2.5亿美元)。Aave随即冻结V3与V4中的rsETH市场,并表示此次事件与rsETH资产本身相关,而非Aave协议智能合约存在问题。Aave还表示正在评估事件后产生的借贷情况,若协议形成坏账将探索弥补路径,但坏账是否实际发生及规模目前尚未确认。
受流动性冲击影响,Aave上ETH资金利用率一度升至100%,超过54亿美元资产在事件发生后从Aave撤离,其中Justin Sun取回约65,584枚ETH(约1.54亿美元)。Aave代币价格在事件影响下下跌约10%。
解读
此次事件的连锁路径较为典型:跨链桥被攻击后,被盗资产并未立即抛售,而是通过Aave的抵押借贷机制转化为ETH,将风险传导至借贷协议层。这一路径使得单一协议的安全事件能够在短时间内对整个借贷市场的流动性产生压力。 Aave冻结rsETH市场的速度及其对坏账的公开表态,反映出头部借贷协议在应对外部资产风险时的处置机制已相对成熟,但非隔离借贷模式下的系统性传导风险依然存在。Curve创始人Michael Egorov对此提出的隔离借贷方向,以及市场对Aave V4 hub and spoke模型的讨论,均指向DeFi借贷架构在风险隔离层面的持续演进需求。值得注意的是,上述观点均为市场人士表态,并非已落地的协议变更。 关于AI与攻击频率关联的说法目前缺乏技术层面的公开证据支撑,属于个人判断,不宜作为事实结论引用。