上个月 Aave 以太坊流动性质押平台的虚假交易失误扰乱了 DeFi 格局

2026 年 4 月 18 日的一次毁灭性攻击，发现了连接 Aave 市场的桥基础设施中的一个明显弱点，特别是连接 Unichain 和以太坊的 Kelp rsETH LayerZero V2 桥。通过伪造跨链消息，攻击者能够将大量 116,500 rsETH 释放到以太坊生态系统中，而不会在 Unichain 上进行相应的销毁，随后利用这些代币作为抵押品在多个 Aave V3 头寸中获取贷款。幸运的是，随后采取了迅速而协调的复苏努力，最终使市场恢复到正常状态并确保得到充分支持。

问题的根源在于网桥的架构，该架构严重依赖单个验证者来验证所有传入的跨链消息，本质上造成了单点故障。这种配置被称为一对一的去中心化验证者网络，事实证明，当验证者成为 RPC 中毒攻击的目标时，它很容易受到外部操纵，从而使攻击者能够扭曲其对源链状态的看法。 4 月 18 日 17:35 UTC，以太坊端点接受了一条 nonce 308 的入站消息，释放了上述 116,500 rsETH，而 Unichain 端点继续仅显示出站 nonce 307，表明源链上没有发生销毁。

该漏洞的成功并不是由于 Aave 智能合约代码中的缺陷，而是由于该桥对单个验证者的依赖及其对外部操纵的敏感性，这是 Aave 协议之外存在的漏洞。 rsETH 代币发布后，攻击者迅速将其分散到七个接收地址中，其中 89,567 个 rsETH 被部署为以太坊核心和 Arbitrum 上 8 个 Aave V3 头寸的抵押品，从而获得了总计 82,650 WETH 和 821 wstETH 的贷款。攻击者小心翼翼地将健康因子维持在 1.01 到 1.03 之间，勉强避免了自动清算。

Aave 遭受该漏洞的原因在于其根据标准超额抵押条款将 rsETH 列为抵押品，从而形成了对网桥验证基础设施的直接依赖，而这超出了 Aave 的控制范围。作为回应，Aave Protocol Guardian 迅速采取行动，冻结了 Aave V3 上的 rsETH 和 wrsETH，并在 4 月 18 日 19:00 UTC 之前将借贷价值 (LTV) 比率设置为零。此外，Aave V4 上的 Kelp Spoke 被完全冻结，WETH 借贷也立即被停用。

随着响应工作的进展，Kelp 在 UTC 时间 18:00 至 19:00 之间成功暂停了与该漏洞相关的 43,373 rsETH，限制了进一步的损害。在接下来的两天里，实施了额外的保护措施，包括在 4 月 20 日冻结多个部署中的 WETH，例如 Ethereum Core、Ethereum Prime、Arbitrum、Base、Mantle 和 Linea。Arbitrum 安全委员会于 4 月 21 日进一步冻结了与攻击者相关的 30,766 个 ETH。到 4 月 23 日，多个部署中的 rsETH 储备已完全暂停，从而可以清算攻击者头寸并为受影响的用户追回资产，从而减轻漏洞利用的影响。