同时关联该项目与事件的快讯
Wasabi Protocol 发布安全事件更新,其中指出攻击者利用其 AWS 基础设施中的 Spring Boot Actuator 配置漏洞,窃取了控制 EVM 智能合约的私钥,并从相关合约中盗取约 480 万美元用户资金及 90 万美元协议金库资金,总损失约 570 万美元。 攻击链起始于一台用于分析的公网服务器,其 Actuator heap dump 未受到正常密码保护,导致攻击者获取了另一服务器凭证,并最终获得智能合约私钥控制权,此次事件仅影响 EVM 部署,包括以太坊、Base、Blast及 Berachain 上的部分金库,Solana 部署及 Prop AMM 未受影响。目前尚未就用户赔付方案给出最终更新方案,但“让所有受损用户得到补偿”仍是团队最高优先事项,未来将于 Discord 社群发布调查进展更新。
美国曼哈顿联邦法官 Margaret Garnett 已批准 Aave 推进其资产追回方案,允许将与朝鲜相关攻击事件有关、此前冻结在 Arbitrum 上的约 7100 万美元 ETH 转入 Aave LLC 控制的钱包,同时保留恐怖主义受害者原告对该笔资金的法律追索权。裁定同时修改了此前针对 Arbitrum DAO 的冻结通知,允许通过链上治理投票执行转移,并豁免发起、投票或参与转移者在该冻结令下的责任。该转移仍需经 Arbitrum 链上治理正式表决通过。(CoinDesk)
Aave 在 X 平台发文表示,rsETH 事件恢复技术方案第二阶段已取得进展。5 月 6 日,黑客在 Aave V3 上的 8 个头寸已被清算,收回的 rsETH 抵押品已移交至恢复监护人。Arbitrum DAO 已通过提案,计划归还此前追回的 7100 万美元 ETH。针对原告发起的资金扣押申请,法官已批准 Aave LLC 的提议,允许通过 Arbitrum DAO 链上投票将该笔 7100 万美元 ETH 转移至 Aave LLC。后续计划包括销毁 Arbitrum 上的 rsETH 并恢复 rsETH 储备金。储备金恢复后将重新开放提款,并恢复 Aave V3 以太坊核心网络上的 WETH LTV。
Mantle 社区已通过提案 MIP - 34 ,授权 Mantle Treasury 向 Aave DAO 提供最高 30,000 ETH 贷款,用于处置 2026 年 4 月 18 日 rsETH 跨链桥安全事件对 Aave V3 造成的坏账影响。根据提案,贷款期限最长 36 个月,利率为 LIDO + 1% 年化,借款方可无罚息提前还款。风控方面,Mantle 将对相关抵押资产享有优先担保权益,Aave 还将提供价值不少于 1,100 万美元的 Aave 代币及协议收入作为补充担保,并向 Mantle 委托 130,000 枚 Aave 代币参与治理。
据 The Block 报道,Arbitrum DAO 以 90.96% 的支持率(1.822 亿票)投票通过,决定释放此前冻结的 30,765.6 枚 ETH(约 7000 万美元),用于支持 DeFi United 计划,以弥补上月 Kelp DAO 遭受的 2.92 亿美元漏洞损失。此次攻击由疑似朝鲜 Lazarus 黑客组织发起,攻击者利用 LayerZero 支持的 OFT 跨链桥单一验证者配置漏洞,盗取 116,500 枚 rsETH,并将大部分资产转入 Aave 作为抵押,造成约 1.9 亿美元坏账。DeFi United 已获得多方捐助,包括 Consensys 及 Joseph Lubin 的 3 万枚 ETH、Mantle 的 3 万枚 ETH 贷款及 LayerZero 的 5000 枚 ETH。
据 CoinDesk 报道,以太坊联合创始人 Vitalik Buterin 于 4 月 30 日在进行一笔小额代币兑换时,遭到知名 MEV 机器人 jaredfromsubway.eth 的三明治攻击。链上数据显示,Buterin 在区块 24993038 中将价值约 3.86 美元的 26,544 枚 XDB 代币换成 0.00197 枚 ETH(约 4.56 美元),机器人随即调用约 114 万美元 WETH 在 SushiSwap 和 Uniswap V2 之间操纵价格完成夹击,扣除 5.14 美元 gas 费后该机器人此次攻击实际亏损。
据 PeckShieldAlert 监测,TrustedVolumes 遭攻击,损失约 590 万美元,包括 302 万美元 ETH、137 万美元 WBTC 及 147 万美元稳定币;攻击者已将被盗资金兑换为 2513 枚 ETH。
Aave 表示,按照此前披露的技术恢复方案,攻击者在 Ethereum 与 Arbitrum 上的 rsETH 头寸已在 Aave 完成清算,相关抵押资产现已转移至 AIP 指定的 Recovery Guardian 地址。Aave 称,此次处理未影响其他用户,Umbrella 机制也未受到影响,并表示这是整体恢复路线图中的关键步骤,后续仍将继续推进相关恢复工作。
Aave 宣布,已完成对 Kelp DAO 攻击者剩余 rsETH 仓位的清算,相关抵押资产将转入由 DeFi United 管理的 Recovery Guardian 多签钱包,用于恢复 rsETH 储备并补偿受影响用户。此次清算为此前 2.92 亿美元攻击事件恢复计划的一部分。Aave 此前通过治理投票临时调整 rsETH 预言机价格,以制造攻击者仓位坏账并触发清算,相关参数将在清算完成后恢复。此前,攻击者曾通过操纵 Kelp DAO 基于 LayerZero 的跨链桥,伪造 11.65 万枚无抵押 rsETH,并在 Aave、Compound 等协议中借出 ETH。当前,DeFi United 相关恢复资金已超过 3.2 亿美元。
据安全机构 Blockaid(@blockaid_)监测,Ekubo Protocol 在以太坊上的一个 v2 自定义扩展合约正遭受持续攻击,目前已损失约 140 万美元。攻击根本原因在于该扩展的 IPayer.pay 回调未对参数来源进行有效限制,导致攻击者可控制 payer、token 及 amount 参数,进而任意转移已授权代币。 Ekubo 核心协议用户不受影响,但曾授权该 v2 合约(0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd)作为代币支出方的用户面临直接风险,Blockaid 建议相关用户立即撤销授权。
据链上分析师 Specter 监测,Wasabi 协议攻击者已将全部被盗资金存入 Tornado Cash,攻击者将约 590 万美元转入 Tornado Cash。此外,朝鲜黑客组织同样通过 Tornado Cash 清洗 KelpDAO 及 LayerZero 被盗资金,其先将资产跨链至比特币,再通过 Wasabi Mixer 进行路由,提取后跨链回以太坊,存入 Tornado Cash,随后提取至新钱包并分散至多个地址,接着由新钱包部署代币,使用被盗资金买入后从部署钱包移除流动性,再跨链至 Tron(USDT),持有数小时或数日后发送至 OTC 关联钱包。
据 Cointelegraph 报道,DeFi 协议 Aave 周一在纽约提交紧急动议,要求撤销美国律所 Gerstein Harrow LLP 阻止 Arbitrum DAO 向 Kelp 漏洞受害者转移 30766 枚 ETH 的限制通知。 Gerstein Harrow LLP 上周五向 Arbitrum DAO 送达限制通知,主张其客户在针对朝鲜的违约判决中应获赔逾 8.77 亿美元。该律所称,4 月 18 日 Kelp 漏洞背后的朝鲜黑客组织曾持有这些代币,因此其客户对相关 ETH 享有法律请求权。
Compound 基金会在 X 平台发文表示,经与 Kelp 和 Aave 团队协调,为避免干扰更广泛的 DeFi 恢复工作,以太坊 WETH 和 wstETH 的 Comet 市场已恢复交易。其同时指出,根据 Kelp 解冻 rsETH 的具体时间,在与漏洞相关的头寸清算窗口期间,相关市场仍可能进行临时暂停,具体安排尚未确定。
Aave LLC 已提交紧急动议,要求撤销 2026 年 5 月 1 日针对 ArbitrumDAO 发出的资产冻结通知。该通知涉及约 7100 万美元 ETH,该部分资产属于 4 月 18 日攻击事件中的受损用户。Aave 表示,被盗资产不因窃取行为获得合法所有权,相关资金原本用于返还受影响用户,冻结反而影响补偿进程。Aave 已请求法院举行紧急听证会并暂时撤销冻结措施,同时表示将继续与 Arbitrum 社区及 DeFiUnited 合作推进用户补偿事宜。
据 Cointelegraph 报道,美国律师事务所 Gerstein Harrow LLP 向纽约地区法院申请限制令及三份执行令状,要求阻止 Arbitrum DAO 转移因 Kelp 漏洞而冻结的 30,766 枚 ETH(价值约 7300 万美元)。该律所主张,其客户曾于 2010、2015、2016 年在美国法院赢得针对朝鲜的缺席判决,合计享有约 8.77 亿美元赔偿权益,并认为上述被盗 ETH 属于朝鲜关联财产,理应用于抵偿债务。 Kelp DAO 于 4 月 18 日遭受价值 2.92 亿美元的黑客攻击,攻击者被认定为朝鲜国家支持黑客组织 Lazarus Group 旗下的 TraderTraitor。Aave Labs 此前已提议将冻结资金解冻并转入"DeFi United"基金,用于补偿 rsETH 持有者,但该律所的法律行动或将令受害者等待周期大幅延长。 Arbitrum DAO 社区成员对此提出批评,认为此举将朝鲜债务的代价转嫁至另一批受害者,进一步加重了原有损害。Gerstein Harrow 此前亦曾就 2023 年 Heco Bridge 黑客事件中 Teth
MegaETH 主管 PaperImperium 在 X 平台披露纽约南区联邦法院文件显示,美国法院已向 Arbitrum DAO 发布禁制令,要求其不得转移此前在 KelpDAO 黑客事件中被冻结的约 7100 万美元 ETH 资产。对此,“链上侦探”ZachXBT 在 X 平台发文表示,某些美国律所利用其调查工作和链上取证成果帮助某些黑客事件受害者提出法律索赔,但这种做法反而会影响减缓受害者拿到补偿/恢复资金。ZachXBT 补充称,在此前多起涉及 Lazarus Group 的黑客事件中,此类律所通常会在其链上资金追踪或冻结完成后才介入,并提出与加密事件本身关联较弱的后续法律行动,也曾在 Harmony、Bybit 等事件中采取类似策略进行“搭便车式索赔”,他呼吁加密社区应该成立 DAO 来抵制此类行为。
MegaETH 主管 PaperImperium 在 X 平台披露纽约南区联邦法院文件显示,美国法院已向 Arbitrum DAO 发布禁制令,要求其不得转移此前在 KelpDAO 黑客事件中被冻结的约 7100 万美元 ETH 资产。原告方试图将该笔资金用于执行针对朝鲜多年来涉及恐怖主义、绑架等案件的未偿判决赔偿,并已申请以替代送达方式向 Arbitrum DAO 发出法律通知,将其视为可被追责的“合伙组织”。法院文件还指出,Arbitrum DAO 设有由 ARB 持有人治理的 Security Council,具备在紧急情况下采取行动的能力,因此相关成员若拒绝配合,可能面临藐视法庭等法律责任。市场认为,此案或成为美国司法体系直接约束 DAO 治理结构的重要案例,并进一步凸显 DeFi 协议在现实法律框架下的合规压力。
据 Cointelegraph 报道,Arbitrum 委员会投票决定解冻价值 7100 万美元的以太坊,以遏制 Kelp DAO 漏洞造成的 2.9 亿美元损失。
据匿名链上侦探 Wazz 披露,数百个钱包在 ETH 主网被同一地址清空,其中多个钱包已超 7 年未活跃。该事件疑似为新型实时漏洞攻击。加密用户 Capitulation 追评表示,最可能的漏洞是在 2020/21 年将助记词放在 LastPass 的安全笔记中所导致的。
Arbitrum DAO 已启动治理投票,拟释放此前冻结的 30,766 枚 ETH,用于支持 Kelp DAO 攻击后的善后计划 DeFi United。该部分资产由 Arbitrum 安全委员会在 4 月 20 日冻结,价值约 7110 万美元,原为攻击者转入 Arbitrum 网络的资金。若提案通过,这将成为 DeFi United 计划中最大一笔资金支持。投票初期,已有 1690 万枚 ARB 支持该提案,目前暂无反对票,投票将持续至 5 月 7 日。