🔥 WCTC S8 全球交易赛正式开赛!
8,000,000 USDT 超级奖池解锁开启
🏆 团队赛:上半场正式开启,预报名阶段 5,500+ 战队现已集结
交易量收益额双重比拼,解锁上半场 1,800,000 USDT 奖池
🏆 个人赛:现货、合约、TradFi、ETF、闪兑、跟单齐上阵
全场交易量比拼,瓜分 2,000,000 USDT 奖池
🏆 王者 PK 赛:零门槛参与,实时匹配享受战斗快感
收益率即时 PK,瓜分 1,600,000 USDT 奖池
活动时间:2026 年 4月 23 日 16:00:00 -2026 年 5 月 20 日 15:59:59 UTC+8
⬇️ 立即参与:https://www.gate.com/competition/wctc-s8
#WCTCS8
#rsETHAttackUpdate
2026年DeFi的定义性冲击
2026年4月18日的rsETH漏洞不仅影响了一个协议——它暴露了整个去中心化金融生态系统的关键结构性弱点。最初看似孤立的桥接问题很快演变成影响借贷市场、重质押协议和跨链基础设施的系统性流动性危机。
这场危机的核心是Kelp DAO,损失约$292 百万美元,成为2026年迄今为止最大的DeFi漏洞。攻击者提取了116,500个rsETH代币,几乎占流通总量的18%,立即动摇了对流动性重质押资产的信心。
根本原因:不是智能合约漏洞,而是基础设施故障
与以往许多漏洞不同,此次攻击并非源于智能合约或借贷逻辑的缺陷。而是针对较弱的层面——由LayerZero第2版驱动的跨链通信基础设施。
最关键的漏洞是1对1验证器设置,意味着只有一个验证者负责确认跨链消息。这在本已去中心化的系统中造成了一个危险的单点故障。
逐步攻击细节
攻击高度协调,执行精准:
攻击在以太坊区块24,908,285发起
目标:Unichain与以太坊之间的桥接路径
攻击者攻破两个RPC节点
恶意软件取代合法节点基础设施
同时进行的拒绝服务攻击使干净节点失效
系统被迫依赖被攻破的数据源
这使得攻击者能够伪造虚假跨链消息,欺骗桥接在以太坊上释放真实资产而没有任何支撑。
结果:
➡️ 空中铸造出116,500个rsETH
➡️ 直接发送到攻击者控制的钱包
➡️ 日志被清除,恶意软件自我删除
这不仅仅是黑客攻击——更是深层次的基础设施操控。
利用阶段:将假资产转化为真实流动性
一旦攻击者获得无背书的rsETH,他们迅速行动以提取价值。
他们将约89,567个rsETH存入借贷协议如Aave V3,主要在以太坊和Arbitrum上。
随后,他们借入:
~82,650 WETH
额外的wstETH仓位
总借入价值:约$236 百万美元
这些仓位的健康因子极其紧密(1.01–1.03),使清算困难,延长系统性压力。
市场的即时反应:流动性危机展开
虽然Aave未被直接攻破,但成为主要的缓冲区。
主要影响:
多个WETH池达到100%利用率
借贷利率下调以稳定流动性
rsETH作为抵押品在11个部署中被冻结
贷款价值比(LTV)设为零
引发连锁反应:
DeFi中的大规模提款
总锁仓价值(TVL)下降50亿–100亿美元+
“银行挤兑”行为在协议间蔓延
一笔约$154 百万美元的提款,据报道与孙宇晨有关,增强了恐慌情绪。
市场价格影响
以太坊(ETH)
下跌2%–3.7%
交易价在$2,300–$2,380附近
下跌由情绪和流动性压力驱动——非协议失败
比特币(BTC)
相对稳定,约在$78,980
作为加密货币中的避险资产
AAVE代币
下跌16%–20%
交易在$95–$105
之间
反映出借贷生态系统风险的直接暴露
坏账场景:系统性风险量化
分析师模拟了多种结果:
情景1:分布式损失模型
坏账:约1.237亿美元
暗示rsETH约15%的脱钩
情景2:孤立的L2损失模型
坏账:约$230 百万美元
对以下影响严重:
Arbitrum:最高27%的短缺
Base:约23%
Mantle:极端情况下高达71%
Aave特定暴露
估算在1.77亿–$200M
美元之间
快速响应:DeFi协调行动
尽管攻击规模巨大,反应速度至关重要。
Kelp DAO行动
紧急暂停在46分钟内启动
防止额外的9500万美元–$100M 损失
停止铸造和桥接
恢复努力——“DeFi联合”
行业合作恢复支撑
主要贡献:
Arbitrum恢复了19283746565748392亿多ETH
Mantle提出19283746565748392亿ETH信贷额度
Aave DAO考虑提供19283746565748392亿ETH支持
Lido、EtherFi、Golem基金会的贡献
总承诺:➡️ 43,500+ ETH (~1亿美元+
安全归因与调查
高可信度确认Lazarus集团为攻击者。
这与之前的高调加密攻击一致,强化了一个不断增长的趋势:
➡️ 国家行为体针对DeFi基础设施
➡️ 重点从智能合约转向链下系统
DeFi和跨链系统的关键教训
此次漏洞暴露了几个关键弱点:
1. 单一验证器=系统性风险
去中心化必须超越智能合约,延伸到验证层。
2. RPC节点安全至关重要
攻击者未破坏代码——他们破坏了数据源。
3. 跨链复杂性放大风险
跨越20多个链的操作带来指数级攻击面。
4. 流动性层脆弱
即使是像Aave这样安全的协议,也可能在极端条件下面临压力。
市场心理:恐惧、流动性与信任
此次漏洞引发了三个关键心理阶段:
冲击阶段——立即的恐慌和提款
流动性紧缩——借贷压力和市场冻结
稳定阶段——治理行动和恢复承诺
有趣的是,没有发生大规模的散户钱包损失。损失主要在协议层面,而非用户层面——这是一个重要的区别,有助于防止更深层次的恐慌。
当前状态)2026年4月末(
资产逐步解冻中
治理投票决定最终损失分配
rsETH部分稳定,但仍在审查中
跨链桥的安全升级正在实施
未来展望:接下来会怎样?
短期
ETH相关资产持续波动
流动性紧张持续
DeFi TVL恢复将是渐进的
中期
强制多验证器桥接标准
加强基础设施层的审计
提高重质押资产的风险溢价
长期
更强大、更有韧性的跨链系统
机构信心随着保障措施恢复
DeFi向安全优先架构演进
最终总结
rsETH漏洞不仅仅是一次黑客攻击——它是对整个DeFi生态系统的压力测试。
尽管:
)损失了
超过2亿美元的坏账风险
数十亿的流动性转移
系统未崩溃。
相反,它协调、适应,并开始恢复。
这才是真正的故事:
➡️ DeFi脆弱——但具有韧性
➡️ 相互连接——但反应敏捷
➡️ 风险高——但快速演变
2026年DeFi的定义性冲击
2026年4月18日发生的rsETH漏洞不仅影响了一个协议——它暴露了整个去中心化金融生态系统的关键结构性弱点。最初看似孤立的桥接问题很快演变成系统性流动性危机,影响了借贷市场、重质押协议和跨链基础设施。
这场危机的核心是Kelp DAO,损失约$292 百万美元,成为2026年迄今为止最大的DeFi漏洞。攻击者提取了116,500个rsETH代币,几乎占流通总量的18%,立即动摇了对流动性重质押资产的信心。
根本原因:不是智能合约漏洞,而是基础设施故障
与以往许多漏洞不同,这次攻击并非源于智能合约或借贷逻辑的缺陷。相反,它针对的是较弱的层面——由LayerZero第2版驱动的跨链通信基础设施。
最关键的漏洞是1对1验证器设置,意味着只有一个验证者负责确认跨链消息。这在本应去中心化的系统中造成了一个危险的单点故障。
逐步攻击细节
攻击高度协调,执行精准:
攻击在以太坊区块24,908,285发起
目标:Unichain与以太坊之间的桥接路径
攻击者攻占了两个RPC节点
恶意软件取代了合法节点基础设施
同时进行的拒绝服务攻击使干净节点失效
系统被迫依赖被攻占的数据源
这使攻击者能够伪造假跨链消息,欺骗桥接在以太坊上释放真实资产而没有任何支撑。
结果:
➡️ 116,500个rsETH凭空铸造
➡️ 直接发送到攻击者控制的钱包
➡️ 日志被清除,恶意软件自我删除
这不仅仅是黑客攻击——更是深层次的基础设施操控。
利用阶段:将假资产转化为真实流动性
一旦攻击者获得了无支撑的rsETH,他们迅速行动以提取价值。
他们将约89,567个rsETH存入借贷协议如Aave V3,主要在以太坊和Arbitrum。
随后,他们借入:
~82,650 WETH
额外的wstETH仓位
总借入价值:约$236 百万美元
这些仓位的健康因子极其紧密(1.01–1.03),使清算困难,延长系统压力。
市场的即时反应:流动性危机展开
虽然Aave未被直接攻破,但成为主要的缓冲器。
主要影响:
多个WETH池达到100%利用率
借贷利率下调以稳定流动性
rsETH作为抵押品在11个部署中被冻结
贷款价值比(LTV)设为零
引发连锁反应:
DeFi中的大规模提款
总锁仓价值(TVL)下降50亿–100亿美元+
“银行挤兑”行为在协议中蔓延
据报道,约$154 百万的提款由Justin Sun相关,激化了恐慌情绪。
市场价格影响
以太坊(ETH)
下跌2%–3.7%
交易价在$2,300–$2,380附近
下跌由情绪和流动性压力驱动——非协议失败
比特币(BTC)
相对稳定,约在$78,980
在加密货币中充当避险资产
AAVE代币
下跌16%–20%
交易在$95–$105
之间
反映出借贷生态系统风险的直接暴露
坏账场景:系统性风险量化
分析师模拟多种结果:
情景1:分布式损失模型
坏账:约1.237亿美元
暗示rsETH约15%的脱钩
情景2:孤立的L2损失模型
坏账:约$230 百万美元
对以下地区影响严重:
Arbitrum:最高27%的短缺
Base:约23%
Mantle:极端情况下高达71%
Aave特定暴露
估算在1.77亿美元到$200M
之间
快速响应:DeFi协调行动
尽管攻击规模巨大,响应速度至关重要。
Kelp DAO行动
紧急暂停在46分钟内启动
防止额外的9500万美元$100M 损失
停止铸造和桥接
恢复努力——“DeFi联合”
行业合作恢复支撑
主要贡献:
Arbitrum恢复了19283746565748392亿多ETH
Mantle提出了19283746565748392亿ETH的信贷额度
Aave DAO考虑提供19283746565748392亿ETH支持
Lido、EtherFi、Golem基金会的贡献
总承诺:➡️ 43,500+ ETH (约1亿美元+
安全归因与调查
高信心确认Lazarus集团为攻击者。
这与之前的高调加密货币漏洞一致,强化了一个日益增长的趋势:
➡️ 国家级行为体针对DeFi基础设施
➡️ 重点从智能合约转向链下系统
DeFi和跨链系统的关键教训
此次漏洞暴露了几个关键弱点:
1. 单一验证器=系统性风险
去中心化必须超越智能合约,延伸到验证层。
2. RPC节点安全至关重要
攻击者未破坏代码——他们破坏了数据源。
3. 跨链复杂性放大风险
跨越20多个链的操作带来指数级的攻击面。
4. 流动性层脆弱
即使是像Aave这样安全的协议,在极端条件下也可能面临压力。
市场心理:恐惧、流动性和信任
此次漏洞引发了三个关键心理阶段:
冲击阶段——立即的恐慌和提款
流动性紧缩——借贷压力和市场冻结
稳定阶段——治理行动和恢复承诺
有趣的是,没有发生大规模散户钱包损失。损失主要在协议层面,而非用户层面——这一点的重要性在于避免了更深层次的恐慌。
当前状态)2026年4月下旬(
资产逐步解冻中
治理投票决定最终损失分配
rsETH部分稳定,但仍在审查中
跨链桥的安全升级正在实施
未来展望:接下来会怎样?
短期
ETH相关资产持续波动
流动性紧张持续
DeFi TVL恢复将是渐进的
中期
强制多验证器桥接标准
加强基础设施层的审计
提高重质押资产的风险溢价
长期
更强大、更有韧性的跨链系统
机构信心随着保障措施回归
DeFi向安全优先架构演进
最终结论
rsETH漏洞不仅仅是一次黑客攻击——它是对整个DeFi生态系统的压力测试。
尽管:
)损失了
超过2亿美元的坏账风险
数十亿的流动性转移
系统未崩溃。
相反,它协调、适应,并开始恢复。
这才是真正的故事:
➡️ DeFi脆弱——但具有韧性
➡️ 相互连接——但反应敏捷
➡️ 风险高——但发展迅速