坏消息：$293M 海带DAO黑客事件：2026年最大DeFi漏洞

发生了什么
海带DAO的(@KelpDAO) rsETH桥通过LayerZero被利用。
➡️ 116,500个rsETH在几分钟内被清空(
➡️ 占rsETH总供应量的18%
➡️ 主要的清空交易触发了LayerZero的EndpointV2合约上的lzReceive函数
主要清空交易
0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222
攻击流程
➡️ 攻击者通过Tornado Cash为钱包充值
➡️ 伪造跨链消息以触发桥的释放
➡️ 立即开始在DeFi中转移资金
主要攻击钱包
0x5d3919f12bcc9e5f5b5274c1a3e3c2a6f2a257ccc
0xbb6a6006eb71a5c3c8c2c5d1c9d9c1c1d631c787
0x1f4c1c2e610f3b2c7f6e5a1c9b3d4a8db3adef
0xeba786c9517a4b3c2d1e6f5a9b8c7d6e68129b
0xcbb24a6b4daf3a2b1c4d5e6f7a8b9c0dae1455cc
0x8d11aeac74263b2a1c4e5f6a7b8c9d0e174c2d49
攻击者如何利用被盗的rsETH
➡️ 将rsETH存入Aave、Compound、Euler
➡️ 借出ETH/WETH
➡️ 通过Uniswap、Kyber和其他去中心化交易所兑换
➡️ 立即开仓并清空仓位
估算资金流
➡️ 借出约52,000+ ETH
➡️ 借出约16,000+ ETH
➡️ 兑换约5,500+ ETH
➡️ 汇总约74,000 ETH
实际损失
rsETH的抵押品现在被冻结且破损，但借出的ETH是真实存在且已被取走。
➡️ 在借贷协议中留下了超过2.8亿美元的坏账
受影响的协议
➡️ Aave V3 - rsETH市场被冻结，面临约$293M 坏账
➡️ Compound - 亏损确认
➡️ Euler - 亏损确认
➡️ Aave的回应
➡️ rsETH市场在V3和V4被冻结
➡️ Aave合约未被利用，问题在于rsETH本身
➡️ Umbrella安全模块可能会削减aWETH质押者的权益以弥补亏损
多米诺效应
➡️ SparkLend和Fluid冻结了rsETH市场
➡️ Lido暂停了earnETH存款，)stETH/wstETH安全$177M
➡️ Ethena出于预防暂停了LayerZero桥
➡️ Upshift暂停了高增长ETH和Kelp Gain金库
市场影响
➡️ (在短短3天内下跌19%
➡️ )因DeFi传染恐慌而下跌
$AAVE ️ rsETH挂钩面临严重风险，持续到周末
散户提醒：
如果你在任何L2上持有rsETH，检查你的包裹版本是否仍有抵押支持。如果你在Aave的Umbrella中质押了aWETH，可能会被削减权益。海带的紧急暂停阻止了另一场$ETH 尝试，否则损失将达3.91亿美元。
桥 → DeFi → 坏账。
这还没有结束。保持安全。