同时关联该项目与事件的快讯
据链上分析师 余烬(@EmberCN)监测,3 月份主导 Venus 平台 THE 抵押清算事件的攻击者,于 1 小时前卖出 1,912枚 ETH 换取 326 万美元,用于偿还其在 Aave 上的部分借款。该借款正是其当初抵押 ETH 借出后用于操纵 Venus 清算的资金。目前该地址在 Aave 上仍有 678万 USDT 尚未偿还。
今年 4 月,KelpDAO 的 LayerZero 桥遭遇 2.92 亿美元漏洞攻击,引发 Aave 48 小时内 84.5 亿美元存款挤兑,成为迄今最大去中心化金融(DeFi)资金外流事件。Aave 创始人 Stani Kulechov 表示,Aave V3 的设计经受住了市场考验,是网络“韧性”的体现。然而,独立数据表明,Aave 的幸存主要依赖 3 亿美元紧急救援,其中包括 Aave DAO 25,000 ETH 担保和 Kulechov 个人 5,000 ETH(约 840 万美元)注资。Kulechov 将漏洞责任归咎于第三方基础设施,而非核心智能合约,但分析师指出,此次事件暴露了 Aave 风险架构和保险机制不足,导致平台承受巨额坏账(约 1.237 亿美元 wETH)。为防止未来桥接失败引发系统性挤兑,Aave V4 将采用模块化“枢纽-辐射”架构,实现局部风险自动调节和担保冻结。(CoinDesk)
Aave 发布 4 月 18 日 rsETH 事件事后调查称,流动性质押协议 Kelp 的 rsETH LayerZero V2 跨链桥在 Unichain 至 Ethereum 跨链过程中接受伪造消息,导致 Ethereum 侧适配器释放 11.65 万枚 rsETH,而 Unichain 侧未发生对应销毁。Aave 表示,攻击发生于第三方跨链桥基础设施,但攻击者将被盗 rsETH 存入 8 个 Aave V3 仓位,并借出 8.265 万枚 WETH 和 821 枚 wstETH,导致 Aave 市场受影响。Aave 称,目前攻击者在 Arbitrum 上的 rsETH 已被销毁,LayerZero OFT 适配器已分 5 批补入 11.613172 万枚 rsETH,rsETH 资产支持已完全恢复,受影响 WETH 与 rsETH 市场已恢复正常。
Kelp在X平台发文表示,已与多家DeFi协议协同完成对攻击者头寸的清算工作,rsETH恢复进程取得关键进展,其中:Compound在过去四周多次参与协调并提供约3000枚ETH支持,同时联合Aave完成清算,合计恢复约17,426.20枚rsETH;Euler Finance则在其协议内清算攻击者仓位,并计划将多余ETH返还至DeFi生态基金。
2026 年 4 月 Drift Protocol 与 Kelp DAO 两起重大 DeFi 攻击事件共造成近 6 亿美元损失,并引发 Aave 等协议约 90 亿美元资金外流。TRM Labs 调查员 Nick Carlsen 称,与朝鲜有关联的黑客组织疑似已利用 AI 辅助筛选目标及设计攻击路径。Failsafe CEO Aneirin Flynn 表示,AI 已将区块链漏洞发现时间从数月压缩至数天甚至数小时。报道称,Anthropic 因网络安全风险未全面开放 AI 模型 Mythos,并称该模型具备发现大规模零日漏洞的能力。其研究显示,2025 年超半数区块链攻击理论上已可由 AI 自主完成。(彭博社)
据官方消息,AaveLabs 提议将 Aave DAO 漏洞赏金框架重组为多个特定子系统计划,分别在 Immunefi、Sherlock 和 Cantina 平台上运行。Core Aave V3、Core Aave V2、GHO 及非流动性协议基础设施由 Immunefi 覆盖,Aave V4 和 Aave App Stack 由 Sherlock 覆盖,Aptos 上的 Aave V3 由 Cantina 覆盖。提案建议调整各系统赏金规模,Core Aave V3 严重漏洞最高奖励为 500 万美元,Aave V4 严重漏洞最高奖励为 250 万美元。此外,Aptos 上的 Aave V3 漏洞赏金出资方将从 Aave Labs 转移至 Aave DAO。目前该 ARFC 提案已获得通过。
Aave 发文表示,其漏洞赏金计划已更新,以便更好地使奖励与生态系统中每个部分的风险状况相匹配,并简化审查路径。Aave V4 和 Core Aave V3 的严重漏洞修复奖励上限现已提高五倍。
Gate 研究院近日发布《2026 年 4 月加密货币市场回顾》报告指出,4 月加密货币市场整体呈现震荡上行格局,总市值较 3 月明显抬升,BTC 与 ETH ETF 交易量整体维持高位波动。报告显示,主要公链生态活跃度继续分化。Solana 日交易量维持在约 9,000 万至 1.1 亿笔区间,持续保持领先。热点赛道方面,报告指出,Pokemon TCG RWA 已成为当前链上 RWA 增长最快的细分方向之一,并于 4 月进入二次爆发阶段。主要交易平台单月交易量超过 2.2 亿美元,单周收入一度接近 600 万美元,刷新历史新高。与此同时,Aave 在 4 月遭遇历史上最严重的一次流动性冲击,几天内 TVL 流出规模达数百亿美元,整月净流出超过 90 亿美元。融资与安全事件方面,4 月 Web3 行业共完成 51 笔融资,总金额约 8.34 亿美元,资金进一步向头部金融与基础设施赛道集中。其中,Payward 以 2 亿美元融资位列单月第一。安全层面,4 月 Web3 安全事件损失约 3.06 亿美元,环比增长约 858%,主要由 Kelp DAO 单笔约 2.93 亿美元的跨链基础设施攻击事件所推动。报告认为,在市场回暖背景下,链上活跃度与资金流动性同步提升,但跨链基础设施与高杠杆协议的安全风险仍值得持续关注。
据 Cointelegraph 报道,纽约一名法官已推迟审理 Aave 提出的解冻约 7100 万美元 ETH 的紧急申请,并要求 Aave 与 Gerstein Harrow LLP 补充提交案情说明,新的听证会定于 6 月 5 日举行。法院指出,Aave 此前未充分说明若限制令继续生效,用户资金为何会出现“连带性损失”。相关资产与 Kelp DAO 约 2.93 亿美元黑客攻击事件有关,此前由 Arbitrum 冻结。法官还要求双方就黑客交易适用法律、欺诈与盗窃的法律区分、债权优先顺位、建设性信托是否适用,以及能否按比例向受害者返还资产等问题进一步说明。
Aave 在 X 平台发文表示,rsETH 技术恢复计划的首阶段步骤已完成,包括在 Arbitrum 上销毁攻击者的 rsETH。后续数日内将逐步补充 LayerZero OFT 适配器资金并恢复 rsETH 相关操作。
美国曼哈顿联邦法官 Margaret Garnett 已批准 Aave 推进其资产追回方案,允许将与朝鲜相关攻击事件有关、此前冻结在 Arbitrum 上的约 7100 万美元 ETH 转入 Aave LLC 控制的钱包,同时保留恐怖主义受害者原告对该笔资金的法律追索权。裁定同时修改了此前针对 Arbitrum DAO 的冻结通知,允许通过链上治理投票执行转移,并豁免发起、投票或参与转移者在该冻结令下的责任。该转移仍需经 Arbitrum 链上治理正式表决通过。(CoinDesk)
Aave 在 X 平台发文表示,rsETH 事件恢复技术方案第二阶段已取得进展。5 月 6 日,黑客在 Aave V3 上的 8 个头寸已被清算,收回的 rsETH 抵押品已移交至恢复监护人。Arbitrum DAO 已通过提案,计划归还此前追回的 7100 万美元 ETH。针对原告发起的资金扣押申请,法官已批准 Aave LLC 的提议,允许通过 Arbitrum DAO 链上投票将该笔 7100 万美元 ETH 转移至 Aave LLC。后续计划包括销毁 Arbitrum 上的 rsETH 并恢复 rsETH 储备金。储备金恢复后将重新开放提款,并恢复 Aave V3 以太坊核心网络上的 WETH LTV。
Mantle 社区已通过提案 MIP - 34 ,授权 Mantle Treasury 向 Aave DAO 提供最高 30,000 ETH 贷款,用于处置 2026 年 4 月 18 日 rsETH 跨链桥安全事件对 Aave V3 造成的坏账影响。根据提案,贷款期限最长 36 个月,利率为 LIDO + 1% 年化,借款方可无罚息提前还款。风控方面,Mantle 将对相关抵押资产享有优先担保权益,Aave 还将提供价值不少于 1,100 万美元的 Aave 代币及协议收入作为补充担保,并向 Mantle 委托 130,000 枚 Aave 代币参与治理。
据 The Block 报道,Arbitrum DAO 以 90.96% 的支持率(1.822 亿票)投票通过,决定释放此前冻结的 30,765.6 枚 ETH(约 7000 万美元),用于支持 DeFi United 计划,以弥补上月 Kelp DAO 遭受的 2.92 亿美元漏洞损失。此次攻击由疑似朝鲜 Lazarus 黑客组织发起,攻击者利用 LayerZero 支持的 OFT 跨链桥单一验证者配置漏洞,盗取 116,500 枚 rsETH,并将大部分资产转入 Aave 作为抵押,造成约 1.9 亿美元坏账。DeFi United 已获得多方捐助,包括 Consensys 及 Joseph Lubin 的 3 万枚 ETH、Mantle 的 3 万枚 ETH 贷款及 LayerZero 的 5000 枚 ETH。
Aave Labs 首席法律与政策官 Linda Jeng 在 Consensus Miami 2026 期间表示,Aave 过去的风险框架过度聚焦金融风险与价格波动,而未来将新增对跨链互操作性、网络安全漏洞及资产底层架构的评估。此次改革直接源于 4 月发生的 rsETH 事件。当时,攻击者利用 KelpDAO 跨链桥漏洞铸造约 11.65 万枚无抵押 rsETH(价值约 2.93 亿美元),并将其作为抵押品存入 Aave 借出真实 WETH,导致协议形成大量坏账风险。Jeng 透露,Aave 未来还将发布一套针对资产发行方的正式“上币标准手册”,并开始从系统性风险角度评估 DeFi 协议间关联性,而非仅孤立分析单一资金池。此外,由 Lido Finance、EtherFi、Ethena 等参与的“DeFi United”救助计划已启动,用于填补抵押品缺口并防止坏账进一步扩散。(CoinDesk)
Aave 表示,按照此前披露的技术恢复方案,攻击者在 Ethereum 与 Arbitrum 上的 rsETH 头寸已在 Aave 完成清算,相关抵押资产现已转移至 AIP 指定的 Recovery Guardian 地址。Aave 称,此次处理未影响其他用户,Umbrella 机制也未受到影响,并表示这是整体恢复路线图中的关键步骤,后续仍将继续推进相关恢复工作。
Aave 宣布,已完成对 Kelp DAO 攻击者剩余 rsETH 仓位的清算,相关抵押资产将转入由 DeFi United 管理的 Recovery Guardian 多签钱包,用于恢复 rsETH 储备并补偿受影响用户。此次清算为此前 2.92 亿美元攻击事件恢复计划的一部分。Aave 此前通过治理投票临时调整 rsETH 预言机价格,以制造攻击者仓位坏账并触发清算,相关参数将在清算完成后恢复。此前,攻击者曾通过操纵 Kelp DAO 基于 LayerZero 的跨链桥,伪造 11.65 万枚无抵押 rsETH,并在 Aave、Compound 等协议中借出 ETH。当前,DeFi United 相关恢复资金已超过 3.2 亿美元。
Kelp DAO 宣布将其再质押代币 rsETH 迁移至 Chainlink CCIP,并表示此举是为提升安全性。此前,Kelp DAO 基于 LayerZero 构建的跨链桥于 4 月 18 日遭遇攻击,黑客窃取约 11.65 万枚 rsETH,涉及金额约 2.92 亿美元,并将相关资产作为抵押在 Aave v3 借出 WETH。针对漏洞原因,LayerZero 此前表示,问题源于 Kelp DAO 采用单一 DVN 验证路径配置,而非多重独立验证。Kelp DAO 则回应称,该配置为默认设置,且 LayerZero 曾确认其安全性,并未提示相关风险。LayerZero CEO Bryan Pellegrino 随后否认相关说法,称 Kelp DAO 曾主动修改默认多 DVN 配置。双方目前仍在就责任归属持续争议。(Cointelegraph)
据 Cointelegraph 报道,DeFi 协议 Aave 周一在纽约提交紧急动议,要求撤销美国律所 Gerstein Harrow LLP 阻止 Arbitrum DAO 向 Kelp 漏洞受害者转移 30766 枚 ETH 的限制通知。 Gerstein Harrow LLP 上周五向 Arbitrum DAO 送达限制通知,主张其客户在针对朝鲜的违约判决中应获赔逾 8.77 亿美元。该律所称,4 月 18 日 Kelp 漏洞背后的朝鲜黑客组织曾持有这些代币,因此其客户对相关 ETH 享有法律请求权。
Compound 基金会在 X 平台发文表示,经与 Kelp 和 Aave 团队协调,为避免干扰更广泛的 DeFi 恢复工作,以太坊 WETH 和 wstETH 的 Comet 市场已恢复交易。其同时指出,根据 Kelp 解冻 rsETH 的具体时间,在与漏洞相关的头寸清算窗口期间,相关市场仍可能进行临时暂停,具体安排尚未确定。