rsETH LayerZero跨链桥遭攻击：116,500枚rsETH被提取，多协议启动应急响应

4月20日，一名攻击者针对Kelp DAO流动性再质押代币rsETH的LayerZero跨链桥合约发动攻击，通过伪造LayerZero跨链消息，从桥合约中直接提取116,500枚rsETH，随后将其存入Aave等借贷平台并借出WETH，引发大量无抵押坏账风险。该事件被描述为2026年迄今规模最大的DeFi安全事件。

Aave方面表示，以太坊主网上的rsETH具备完全抵押支持，但rsETH在Aave V3和V4上仍处于冻结状态。Aave同时冻结了以太坊、Arbitrum、Base、Mantle和Linea上受影响市场中的WETH储备，并表示正在验证信息、评估潜在解决方案。

Morpho披露其风险敞口约为100万美元ETH，以rsETH作为抵押借出，分布在两个隔离市场中；其余所有Vault因采用完全隔离市场设计未受波及。Morpho同时暂停了Arbitrum上MORPHO代币的OFT跨链桥，直至漏洞根本原因查明。

Fluid推出aWETH赎回协议，允许ETH借贷者将仓位赎回为wstETH或weETH，初始容量上限设为10亿美元ETH。仅持有ETH债务的用户可完全赎回；同时持有其他债务的用户，抵押品将转换为wstETH或weETH，债务结构保持不变。

Ethena决定延长LayerZero OFT跨链桥的暂停时间，并发布储备证明，称USDe抵押品支持率维持在100%以上。Curve Finance暂停其LayerZero基础设施，受影响的包括CRV从BNB、Sonic、Avalanche、Fantom、Etherlink、Kava的桥接，以及crvUSD的快速桥接；其他链的原生桥接及L2慢速桥接仍可正常使用。

Reserve协议临时暂停eUSD和USD3的铸造、再平衡及RSR解押，赎回功能保持开放。Reserve判断ETH+和bsdETH不含rsETH抵押品，风险为零；RSR质押者可能作为第一损失资本承担部分损失，但Reserve表示RSR超额抵押足以覆盖潜在损失，实际影响极小。

Maple Finance已将syrupUSDT在Aave Mantle上提供的所有USDT撤回，并表示syrupUSDC和syrupUSDT不受此次漏洞影响。Polygon表示其Chain、Agglayer及Katana、Vaultbridge等生态项目均未受影响。EtherFi表示协议流动性金库不受Kelp rsETH事件影响，金库用户不会遭受资金损失。Hyperliquid生态项目Hyperwave已暂停所有Hyperwave资产的LayerZero桥接。

LayerZero表示已了解漏洞详情，自事件发生以来持续与KelpDAO团队协作修复，并称其他应用均保持安全，后续将与KelpDAO联合发布事后分析报告。目前攻击者身份及资金去向未披露，Aave受影响市场的实际坏账规模尚未公布，各协议暂停措施的恢复时间亦未确定。