🔥 WCTC S8 全球交易賽正式開賽!
8,000,000 USDT 超級獎池解鎖開啟
🏆 團隊賽:上半場正式開啟,預報名階段 5,500+ 戰隊現已集結
交易量收益額雙重比拼,解鎖上半場 1,800,000 USDT 獎池
🏆 個人賽:現貨、合約、TradFi、ETF、閃兌、跟單齊上陣
全場交易量比拼,瓜分 2,000,000 USDT 獎池
🏆 王者 PK 賽:零門檻參與,實時匹配享受戰鬥快感
收益率即時 PK,瓜分 1,600,000 USDT 獎池
活動時間:2026 年 4 月 23 日 16:00:00 - 2026 年 5 月 20 日 15:59:59 UTC+8
⬇️ 立即參與:https://www.gate.com/competition/wctc-s8
#WCTCS8
#rsETHAttackUpdate
2026年DeFi的決定性震撼
2026年4月18日的rsETH漏洞不僅影響了一個協議——它暴露了整個去中心化金融生態系統中的關鍵結構性弱點。最初看似孤立的橋接問題迅速演變成系統性流動性危機,影響借貸市場、重 staking 協議和跨鏈基礎設施。
這場危機的核心是Kelp DAO,損失約$292 百萬美元,成為2026年迄今為止最大的一次DeFi漏洞。攻擊者提取了116,500個rsETH代幣,幾乎佔流通總量的18%,立即動搖了對流動性重 staking資產的信心。
根本原因:不是智能合約漏洞,而是基礎設施失效
與以往多次漏洞不同,此次攻擊並非源於智能合約或借貸邏輯的缺陷。相反,它針對較弱的層面——由LayerZero版本2驅動的跨鏈通信基礎設施。
最關鍵的漏洞是1對1驗證器設置,意味著只有一個驗證者負責確認跨鏈消息。這在本應去中心化的系統中形成了一個危險的單點故障。
逐步攻擊拆解
攻擊高度協調且精確執行:
攻擊在以太坊區塊24,908,285時啟動
目標:Unichain與以太坊之間的橋接路由
攻擊者攻破兩個RPC節點
惡意軟件取代合法節點基礎設施
同步的拒絕服務攻擊使乾淨節點失效
系統被迫依賴被攻破的數據源
這使攻擊者能偽造假跨鏈消息,騙過橋接在以太坊上釋放真實資產,卻毫無支撐。
結果:
➡️ 116,500個rsETH空中鑄造
➡️ 直接發送到攻擊者控制的錢包
➡️ 日誌被刪除,惡意軟件自我刪除
這不僅是黑客行動——更是深層次的基礎設施操控。
利用階段:將假資產轉化為真流動性
一旦攻擊者獲得無支撐的rsETH,他們迅速行動以提取價值。
他們將約89,567個rsETH存入借貸協議如Aave V3,主要在以太坊和Arbitrum。
接著,他們借出:
約82,650 WETH
額外的wstETH倉位
總借款價值:約$236 百萬美元
這些倉位設計的健康因子極低(1.01–1.03),使清算困難,延長系統性壓力。
市場立即反應:流動性危機展開
雖然Aave未被直接攻擊,但成為主要的緩衝器。
主要影響:
多個WETH池達到100%利用率
借貸利率下調以穩定流動性
rsETH作為抵押品在11個部署中被冻结
貸款價值比(LTV)設為零
引發連鎖反應:
DeFi大規模提款
總鎖倉價值(TVL)下降5億至10億美元+
“銀行擠兌”行為在協議間蔓延
據報導,與Justin Sun相關的約$154 百萬美元提款,加劇恐慌情緒。
市場價格影響
以太坊(ETH)
下跌2%–3.7%
交易價格約在$2,300–$2,380
下跌由情緒和流動性壓力推動——非協議失敗
比特幣(BTC)
相對穩定,約在$78,980
在加密貨幣中充當避險資產
AAVE代幣
下跌16%–20%
交易在$95–$105
之間
反映出借貸生態系統風險的直接暴露
壞帳情景:系統性風險量化
分析師模擬多種結果:
情景1:分散損失模型
壞帳:約1.237億美元
暗示rsETH約15%的脫鉤
情景2:孤立L2損失模型
壞帳:約$230 百萬美元
對以下的嚴重影響:
Arbitrum:最高27%的短缺
Base:約23%
Mantle:極端情況下高達71%
Aave特定暴露
估計在1.77億美元至$200M
之間
快速反應:DeFi協調行動
儘管攻擊規模巨大,反應速度至關重要。
Kelp DAO行動
緊急暫停在46分鐘內啟動
防止額外的$95M–$100M 損失
停止鑄造和橋接
恢復努力——“DeFi聯合”
行業合作恢復支撐
主要貢獻:
Arbitrum恢復了30,000+ ETH
Mantle提出30,000 ETH信貸額度
Aave DAO考慮提供25,000 ETH支援
Lido、EtherFi、Golem基金會的貢獻
總承諾:➡️ 43,500+ ETH (約$100M+)
安全歸屬與調查
高信心確認Lazarus集團為攻擊者。
這與之前的高調加密漏洞相符,加強了一個日益增長的趨勢:
➡️ 國家級行為者針對DeFi基礎設施
➡️ 重點從智能合約轉向鏈下系統
DeFi與跨鏈系統的關鍵教訓
此次漏洞揭示了幾個關鍵弱點:
1. 單一驗證器=系統性風險
去中心化必須超越智能合約,延伸到驗證層。
2. RPC節點安全至關重要
攻擊者未破壞代碼——他們破壞了數據源。
3. 跨鏈複雜性放大風險
跨越20多條鏈的操作帶來指數級攻擊面。
4. 流動性層脆弱
即使是像Aave這樣安全的協議,也可能在極端條件下面臨壓力。
市場心理:恐懼、流動性與信任
此次漏洞引發了三個關鍵心理階段:
震驚階段——立即的恐慌與提款
流動性緊縮——借貸壓力與市場凍結
穩定階段——治理行動與恢復承諾
有趣的是,沒有發生大規模散戶錢包損失。損害主要在協議層面,而非用戶層面——這一點的區別有助於防止更深層次的恐慌。
當前狀況(2026年4月下旬)
資產逐步解凍中
治理投票決定最終損失分配
rsETH部分穩定,但仍在審查中
跨鏈橋正進行安全升級
未來展望:下一步是什麼?
短期
ETH相關資產持續波動
流動性緊張持續
DeFi TVL恢復將是漸進的
中期
強制多驗證器橋接標準
加強基礎設施層的審計
提高重 staking資產的風險溢價
長期
更強大、更具韌性的跨鏈系統
機構信心隨著保障措施回升
DeFi朝著安全優先架構演進
最終結論
rsETH漏洞不僅是一次黑客攻擊——它是對整個DeFi生態系統的壓力測試。
儘管:
$292M 損失殆盡
$2億以上的壞帳風險
數十億的流動性轉移
系統未崩潰。
相反,它協調、適應,並開始恢復。
這才是真正的故事:
➡️ DeFi脆弱——但具有韌性
➡️ 相互聯繫——但反應敏捷
➡️ 風險高——但快速演變