#rsETHAttackUpdate 去中心化金融基礎設施分析,系統性風險與恢復應對 (2026年4月)
2026年4月的rsETH漏洞事件代表迄今為止去中心化金融中最重要的壓力事件之一。最初似乎是針對單一協議的定向攻擊,迅速擴展成整個DeFi生態系統的流動性與信任震盪,暴露出不僅是智能合約的弱點,更是支撐跨鏈金融的底層基礎設施的缺陷。
事件的核心是Kelp DAO,損失約$292 百萬美元,成為2026年迄今最大的一次DeFi漏洞。攻擊者提取了約116,500個rsETH,佔流通供應的相當部分,立即動搖了對流動性重質押資產的信心,並引發借貸與跨鏈系統的廣泛擔憂。
根本原因:基礎設施弱點,而非智能合約失效
與依賴程式碼漏洞的傳統DeFi漏洞不同,此次攻擊針對的是基礎設施層,特別是由LayerZero V2驅動的跨鏈訊息傳遞。
最關鍵的弱點是1對1驗證器設計。這意味著由單一驗證者負責確認跨鏈交易,形成一個集中式的失效點,破壞了本應去中心化的系統。
攻擊者利用此結構,通過攻破RPC節點並操控數據源,而非直接攻破智能合約,來進行操控。這一轉變很重要,因為它突顯了DeFi中新出現的風險類別:基礎設施層的操控。
攻擊執行流程
攻擊以高度協調的序列進行。始於以太坊區塊24,908,285,針對Unichain與以太坊之間的橋樑。
攻擊者首先攻破兩個RPC節點,並用惡意版本取代合法的基礎設施。