與該事件類型相關的快訊
密碼學工程師 Filippo Valsorda 撰文指出,量子計算對當前加密體系的影響主要集中在非對稱算法(如 ECDSA、RSA 等),而對對稱加密(如 AES、SHA 系列)影響有限,Grover 算法 並不會在實際場景中顯著削弱 128 位密鑰安全性。儘管 Grover 算法理論上可加速暴力破解,但其難以並行化,實際攻擊成本極高。即便在理想量子計算條件下,破解 AES-128 所需資源遠高於利用 Shor 算法 攻擊橢圓曲線加密的成本。此外,包括美國國家標準與技術研究院 在內的標準機構一致認爲,AES-128 仍滿足後量子安全要求,無需提升至 256 位密鑰。業內觀點認爲,將資源集中於替換易受量子攻擊的非對稱加密方案,纔是當前更緊迫的任務。
據 Dune 官方披露,在 KelpDAO 黑客事件後其對 LayerZero 近 90 天活躍 OApp 的 DVN 安全配置分析。數據顯示,在約 2665 個獨立 OApp 合約中,47% 採用 1-of-1 DVN 安全下限,45% 採用 2-of-2,約 5% 採用 3-of-3 或更高配置;KelpDAO 的 rsETH 位於 1-of-1 這一最低安全層級。
Vercel 公佈安全事件分析,稱其部分內部系統遭未授權訪問,起因是一名員工使用的第三方 AI 工具 Context.ai 被攻破,攻擊者藉此接管其 Google Workspace 賬戶並訪問部分環境配置數據。初步影響爲少量客戶未標記爲“敏感”的環境變量(如 API Key、Token 等)可能被泄露,已通知相關用戶並建議立即輪換憑證。目前尚無證據顯示被標記爲“敏感”的數據或供應鏈(如 npm 包)遭到篡改。 Vercel 稱攻擊者具備較高技術水平,已聯合 Mandiant 及多家安全機構展開調查,並已向執法部門報案。同時強調平臺服務仍正常運行。同時建議用戶啓用多重認證、全面輪換潛在泄露的環境變量,並檢查賬戶活動日誌及部署記錄,以防進一步風險。
Curve Finance 創始人 Michael Egorov(@newmichwill)發文指出,近期 DeFi 領域因中心化失敗點引發的安全事故頻發,嚴重損害行業形象。他以 Aave 用戶因 rsETH 遭攻擊、LayerZero 跨鏈橋被黑而無法提款爲例,強調問題應在發生前預防,而非事後補救。 他呼籲行業共同制定 DeFi 安全標準,建議以太坊基金會與 Solana 基金會牽頭,聯合各生態項目、審計機構及風險評估團隊,制定安全構建原則與規範,並可借鑑傳統金融在保護中心化節點方面的經驗。
Aave 風險服務商 LlamaRisk 發佈事件報告,2026年 4月 18 日,攻擊者利用 Kelp 的 LayerZero V2 Unichain 至以太坊 rsETH 路由漏洞(1-of-1 DVN 配置缺陷),僞造入站數據包,從以太坊端適配器非法釋放 116,500枚 rsETH,並將其中 89,567 枚作爲抵押品存入 Aave V3 多個市場(涉及以太坊 Core 及 Arbitrum 等鏈),借出約 82,650枚 WETH(約 1.91 億美元)及 821枚 wstETH。 目前適配器僅剩 40,373枚 rsETH,而遠端鏈 rsETH 總索賠量達 152,577 枚,缺口巨大。根據損失分配方式不同,Aave 面臨兩種壞賬情景:情景一(全局均攤)預計壞賬約 1.237 億美元,以太坊 Core 承壓最大;情景二(損失僅限 L2)預計壞賬約 2.301 億美元,Mantle 面臨高達 71.45%的 WETH 儲備缺口,Arbitrum 爲26.67%。 事件發生後,Aave 協議守護者及風險管理員已於第一時間凍結全部 11 個市場的 rsETH/wrsETH 儲備
Kelp DAO 官方於 X 發文就被盜事件跟進表示,被盜原因爲 LayerZero 託管的兩個 RPC 節點被攻破,同時第三個 RPC 節點遭遇了 DDoS 攻擊。這是一次針對 LayerZero 基礎設施的攻擊,Kelp 本身的系統並未參與該基礎設施的構建或運行。1/1 的 DVN 配置是 LayerZero 文檔中記錄的方案,也是所有新 OFT 部署的默認設置。Kelp 自 2024 年 1 月以來一直運行在 LayerZero 基礎設施之上,並與 LayerZero 團隊保持着開放溝通。在 Kelp 向 Layer2 擴展期間,曾討論過 DVN 配置問題,當時默認配置被明確確認是合適的。Kelp 當前的首要任務是保障用戶利益,並防止風險在 DeFi 生態中擴散。團隊正與生態內各方合作,分析影響、爭取支持,並探索所有可能的緩解方案。
據慢霧 CISO 23pds(@im23pds)披露,Anthropic 旗下 Claude Desktop 應用在用戶安裝時,會在用戶完全不知情的情況下,向電腦中所有基於 Chromium 內核的瀏覽器寫入一個特殊文件。該文件相當於預先授權的後門,一旦配合特定瀏覽器擴展使用,攻擊者可獲得對用戶瀏覽器的完全控制權。
Lido 在 X 平臺發文表示,4 月 18 日 Kelp 跨鏈橋遭攻擊,約 11.65 萬枚 rsETH(約 2.92 億美元)被盜,隨後相關資產在 Aave 等借貸市場被凍結。其金庫產品 EarnETH 通過 Aave 上的 rsETH/ETH 槓桿頭寸存在約 9%風險敞口(約 2160 萬美元),同時借貸利用率上升正對其他策略產生成本壓力。團隊正推進去槓桿並降低整體風險。Lido 指出,rsETH 頭寸的最終影響取決於 Kelp、LayerZero 與 Aave 的後續處置,包括損失分攤、資產追回及壞賬處理等。在風險緩釋方面,EarnETH 可在必要時啓用 300 萬美元“首損保護機制”(由 DAO 金庫提供)以覆蓋損失,具體使用規模仍待進一步評估。目前金庫已暫停存取款,以確保公平並完成損失評估;若處理進展緩慢,或將按最壞折損預期重開贖回通道。官方強調,stETH 與 wstETH 未受影響,核心質押協議未參與本次事件。
據 Lido 官方推文披露,2026年 4月 18 日,攻擊者從 Kelp 跨鏈橋盜取 116,500枚 rsETH(約 2.92 億美元),Aave 等借貸平臺隨即凍結 rsETH 市場。Lido 旗下 EarnETH 金庫通過 Aave 槓桿頭寸持有約 9%的 rsETH 敞口(約 2160 萬美元),目前存提款已暫停。EarnETH 團隊正積極降低槓桿、壓縮風險,最終損失規模取決於 Kelp、LayerZero及 Aave 的後續處置決定。Lido DAO 國庫設有 300 萬美元"首次損失保護機制",必要時將通過銷燬 DAO 金庫份額予以兜底。Lido 核心質押協議及 stETH、wstETH 均未受此次事件影響。
據 CoinDesk 報道,Kelp DAO 將反駁 LayerZero 對其 2.9 億美元 rsETH 跨鏈橋漏洞的說明,稱遭攻破的單一驗證器配置依賴的是 LayerZero 自身基礎設施,且相關設置屬於其默認接入方案,並非 Kelp DAO 違背建議的特殊選擇。攻擊者通過控制 LayerZero 用於校驗跨鏈交易的服務器並干擾備用節點,盜走約 116,500 枚 rsETH 。Kelp DAO 表示,事件僅影響基於 LayerZero 的橋接層,其核心流動性再質押合約未受波及。LayerZero 隨後回應稱,將停止爲任何使用單驗證器設置的應用簽署消息,並強制要求進行安全遷移。
據 DL News 報道,俄羅斯加密貨幣交易所 Grinex 於上週三宣佈停止運營,稱其遭遇網絡攻擊,平臺被盜超 10 億盧布,約合 1300 萬美元。 報道稱,Grinex 曾在 2025 年爲受制裁穩定幣 A7A5 處理近 1000 億美元交易量,其停擺被認爲將削弱俄羅斯企業將盧布兌換爲可用國際貨幣的渠道,並對其規避制裁的影子金融體系造成嚴重打擊。Grinex 被視爲此前已遭制裁並關閉的 Garantex 的繼任者,曾與 A7A5 發行方 Old Vector 一同於 2025 年 8 月受到美國、歐洲和英國制裁。
據官方消息,針對前端平臺 Vercel 安全事件及供應鏈安全風險,Binance 安全團隊已第一時間啓動應急響應,完成 Binance 體系內產品前端的全面風險排查,並直接聯繫 Vercel 逐一覈實確認。Binance 表示,其平臺與用戶資產均不在本次事件影響範圍內。
據官方公告,針對近期 Vercel 平臺安全事件,Jupiter(@JupiterExchange)表示未收到任何受影響的通知或跡象,其 jup.ag 前端亦不存儲任何敏感信息。Jupiter 已主動落實 Vercel 推薦的全部安全措施,完成所有密鑰輪換,並對系統日誌進行全面審查,未發現任何可疑活動,目前持續監控中。
據 Spark 策略負責人 monetsupply.eth 在 X 平臺發文表示,Spark 長期堅持對 SparkLend ETH 市場設置較高借貸上限利率,儘管此舉導致大量用戶轉向 Aave,損失了可觀業務與收入,但當前市場流動性危機證明該策略的審慎性。目前 Aave 在主網、Arbitrum、Plasma、Mantle 及 Base 等多鏈市場均出現流動性枯竭,ETH 借貸利用率達 100%,導致存款人無法提款、ETH 抵押品清算無法正常執行。他警告稱,若當前流動性緊張狀況持續,ETH 價格一旦下跌 15%-20%,Aave 或將面臨大規模壞賬風險(疊加 rsETH 漏洞事件的潛在影響)。
據 SlowMist 創始人餘弦(@evilcos)分析,此次 KelpDAO 約2.9 億美元被盜事件的攻擊核心爲針對 LayerZero DVN(去中心化驗證器網絡)下游 RPC 基礎設施的定向投毒。 具體攻擊步驟爲:首先獲取 LayerZero DVN 所使用的 RPC 節點列表,隨後攻破其中兩個獨立集羣並替換 op-geth 二進制文件;利用選擇性欺騙技術,僅對 DVN 返回僞造的惡意 payload,對其他 IP 則返回真實數據;同時對未被攻破的 RPC 節點發動 DDoS 攻擊,迫使 DVN 故障轉移至已被投毒的節點,完成僞造消息驗證後惡意二進制自毀並清除日誌。最終導致 LayerZero DVN 爲"從未發生過的交易"簽發驗證。
目前,LayerZero Labs DVN 已恢復運行,並宣佈將不再爲仍使用 1/1 配置的應用簽署或驗證消息。LayerZero 已與全球多個執法機構展開合作,並積極協助追蹤被盜資金。
據鏈上分析平臺 Lookonchain(@lookonchain)監測,一 OTC 巨鯨此前曾買入 163,405 枚 ETH(約 4.4 億美元)及 4,000 枚 cbBTC(約 2.96 億美元),受 KelpDAO rsETH 跨鏈橋漏洞影響,該巨鯨無法正常從 Aave 提取 ETH,被迫將 7,438 枚 aEthWETH(約 1,683 萬美元)折價兌換爲 1,930 枚 stETH 及 5,272 枚 ETH,損失約 237 枚 ETH(約 54 萬美元)。 目前該巨鯨已從 Aave 提走 98,032 枚 wstETH(約 2.72 億美元)及 3,000 枚 cbBTC(約 2.216 億美元),仍有 10,000 枚 ETH(約 2,280 萬美元)留存於 Aave 中。
法國已成爲扳手攻擊的高發地,今年至少報告 41 起與加密貨幣相關的綁架和入室搶劫案,平均每 2.5 天發生一起。內政部代表部部長 Jean-Didier Berger 表示,正與內政部長 Laurent Nuñez 準備一系列新措施以應對該問題。扳手攻擊指通過身體暴力強迫受害者轉賬加密資產。Certik 與 Jameson Lopp 數據顯示,2025 年全球覈實的身體強迫事件達 72 起,同比增長 75%,涉及身體攻擊的案例同比增長 250%。Ledger 聯合創始人 David Balland 曾於 2025 年 1 月在法國遭到綁架。安全研究人員指出,攻擊者正從尋找錢包轉向獵殺個人,通過社交媒體和泄露數據鎖定目標。由於加密交易不可逆,攻擊者常將非法所得兌換爲穩定幣並跨鏈轉移以逃避追查。專家建議使用多重簽名、提款延遲和支出限制等工具降低被攻擊風險。
據官方消息,Polygon 團隊一直在積極監控 rsETH 漏洞:Polygon Chain、Agglayer 以及包括 Katana 和 Vaultbridge 在內的更廣泛生態系統均未受到此次事件影響。
據 DefiLlama 創始人 0xngmi 發文,KelpDAO 遭黑客攻擊後,Aave 面臨嚴峻的壞賬處置壓力,目前存在三種潛在解決方案:一是將損失在所有用戶間社會化分攤,屆時用戶將承受 18.5%的減值,預計產生約 2.16 億美元壞賬,Aave 傘形保險可覆蓋 5500 萬美元,國庫可再補 8500 萬美元,仍餘約 7600 萬美元缺口;二是對 L2 上的 rsETH 持有者執行"rug pull",將產生約 3.41 億美元壞賬,Arbitrum、Mantle及 Base 市場損失最爲慘重;三是依據攻擊前快照向持有者返還資產,但操作難度極高,傘形保險覆蓋後預計仍有約 9100 萬美元損失。此外,有觀點建議沒收黑客抵押品以彌補部分壞賬,同時 Aave OG 安全模塊仍持有約 3 億美元的 AAVE 代幣,按 20%削減比例可額外提供約 6000 萬美元的損失覆蓋。