跨鏈攻擊

ChainCatcher 消息，針對 4 月 18 日發生的 Kelp rsETH LayerZero V2 橋被攻擊事件，Aave 在 X 平台發布事後調查，強調此次暴露主要源於第三方橋基礎設施，而非協議本身。攻擊者通過 RPC 中毒攻擊，針對 LayerZero 的單一驗證器，偽造了一條跨鏈消息。導致 Ethereum 側在 Unichain 沒有實際銷毀的情況下，釋放了 116,500 rsETH。攻擊者隨後將竊取的 rsETH 存入 Aave V3（Ethereum Core 和 Arbitrum），借出約 82,650 WETH 和 821 wstETH。Aave Protocol Guardian 和 Risk Steward 立即對 rsETH 和 WETH 儲備實施保護措施。目前受影響的 V3 部署中，WETH 和 rsETH 市場運行正常。攻擊者在 Arbitrum 上的 rsETH 已被銷毀，LayerZero OFT 適配器已分五批完全充值，rsETH 支持已全部恢復，Kelp 已重新開放 rsETH 的提現、橋接和索賠功能。受影響市場的 WETH LTV 已重置為攻擊前的值，除 rsETH 外，Aave V3 在所有市場均已全面運行。Arbitrum DAO 已投票通過，授權將凍結的 ETH 轉移至 Aave LLC，目前正在等待鏈上執行。法院仍在審理限制令的實質性內容，Aave LLC 將在法院審議期間繼續遵守限制令。目前仍在進行的項目包括：Llama Risk 的 Aave 風險框架、橋接評估框架、發布當前已上線資產的評估報告、Arbitrum DAO 投票的鏈上執行，以及法院對限制令的審理。