鼓狮财经快讯:针对 4 月 18 日发生的 Kelp rsETH LayerZero V2 桥被攻击事件,Aave 官方近日发布了详细的事后调查报告,迅速厘清了事件脉络,并展示了其强大的风险控制能力。
此次安全漏洞并非源于 Aave 协议本身,而是第三方桥接基础设施 LayerZero 出现了单点故障。攻击者利用 RPC 中毒攻击手段,成功针对 LayerZero 的单一验证器进行了伪造,制造了一条虚假的跨链消息。这一操作导致以太坊侧在 Unichain 侧未实际销毁代币的情况下,错误地释放了高达 116,500 枚 rsETH。这表明,尽管去中心化金融协议本身运行稳健,但连接不同链的桥梁设施仍需警惕单点故障带来的风险。
得手后,攻击者迅速将窃取的巨额 rsETH 资产存入 Aave V3 合约(包括 Ethereum Core 和 Arbitrum 市场),以此作为抵押,成功借出了约 82,650 枚 WETH 和 821 枚 wstETH。面对这一突发状况,Aave Protocol Guardian 和 Risk Steward 展现了极高的应急响应速度,立即对 rsETH 和 WETH 储备实施了紧急保护措施,有效遏制了损失的进一步扩大。
经过紧急修复,目前 Aave 受影响的 V3 部署市场运行平稳。Arbitrum 上的相关 rsETH 资产已被彻底销毁,LayerZero OFT 适配器也已分五批完成全额充值,确保了资产流转的通畅。Kelp 已正式重新开放 rsETH 的提现、桥接以及用户索赔功能。此外,受影响市场的 WETH 最高贷款价值比率(LTV)已重置为攻击前的基准水平,除 rsETH 外,Aave V3 在所有其他市场均已恢复正常运作,显示出协议在危机后的强大韧性。
在治理层面,Arbitrum DAO 已顺利通过投票,授权将冻结的 ETH 转移至 Aave LLC,目前正等待链上执行。与此同时,关于限制令的实质性内容,法院仍在审理中,Aave LLC 承诺在法院审议期间严格遵守相关限制令。这表明 Aave 正在积极通过法律途径解决争议,维护生态系统的安全与稳定。
展望未来,Aave 团队仍在紧锣密鼓地推进多项后续工作。这包括引入 Llama Risk 的 Aave 风险框架、制定全面的桥接评估框架、发布当前已上线资产的深度评估报告,以及落实 Arbitrum DAO 投票的链上执行。此外,关于限制令的法院审理工作也仍在进行中,Aave 将持续跟进以确保所有风险可控。