同時關聯該項目與事件的快訊
Wasabi Protocol 發佈安全事件更新,其中指出攻擊者利用其 AWS 基礎設施中的 Spring Boot Actuator 配置漏洞,竊取了控制 EVM 智能合約的私鑰,並從相關合約中盜取約 480 萬美元用戶資金及 90 萬美元協議金庫資金,總損失約 570 萬美元。 攻擊鏈起始於一臺用於分析的公網服務器,其 Actuator heap dump 未受到正常密碼保護,導致攻擊者獲取了另一服務器憑證,並最終獲得智能合約私鑰控制權,此次事件僅影響 EVM 部署,包括以太坊、Base、Blast及 Berachain 上的部分金庫,Solana 部署及 Prop AMM 未受影響。目前尚未就用戶賠付方案給出最終更新方案,但“讓所有受損用戶得到補償”仍是團隊最高優先事項,未來將於 Discord 社羣發佈調查進展更新。
美國曼哈頓聯邦法官 Margaret Garnett 已批准 Aave 推進其資產追回方案,允許將與朝鮮相關攻擊事件有關、此前凍結在 Arbitrum 上的約 7100 萬美元 ETH 轉入 Aave LLC 控制的錢包,同時保留恐怖主義受害者原告對該筆資金的法律追索權。裁定同時修改了此前針對 Arbitrum DAO 的凍結通知,允許通過鏈上治理投票執行轉移,並豁免發起、投票或參與轉移者在該凍結令下的責任。該轉移仍需經 Arbitrum 鏈上治理正式表決通過。(CoinDesk)
Aave 在 X 平臺發文表示,rsETH 事件恢復技術方案第二階段已取得進展。5 月 6 日,黑客在 Aave V3 上的 8 個頭寸已被清算,收回的 rsETH 抵押品已移交至恢復監護人。Arbitrum DAO 已通過提案,計劃歸還此前追回的 7100 萬美元 ETH。針對原告發起的資金扣押申請,法官已批准 Aave LLC 的提議,允許通過 Arbitrum DAO 鏈上投票將該筆 7100 萬美元 ETH 轉移至 Aave LLC。後續計劃包括銷燬 Arbitrum 上的 rsETH 並恢復 rsETH 儲備金。儲備金恢復後將重新開放提款,並恢復 Aave V3 以太坊核心網絡上的 WETH LTV。
Mantle 社區已通過提案 MIP - 34 ,授權 Mantle Treasury 向 Aave DAO 提供最高 30,000 ETH 貸款,用於處置 2026 年 4 月 18 日 rsETH 跨鏈橋安全事件對 Aave V3 造成的壞賬影響。根據提案,貸款期限最長 36 個月,利率爲 LIDO + 1% 年化,借款方可無罰息提前還款。風控方面,Mantle 將對相關抵押資產享有優先擔保權益,Aave 還將提供價值不少於 1,100 萬美元的 Aave 代幣及協議收入作爲補充擔保,並向 Mantle 委託 130,000 枚 Aave 代幣參與治理。
據 The Block 報道,Arbitrum DAO 以 90.96% 的支持率(1.822 億票)投票通過,決定釋放此前凍結的 30,765.6 枚 ETH(約 7000 萬美元),用於支持 DeFi United 計劃,以彌補上月 Kelp DAO 遭受的 2.92 億美元漏洞損失。此次攻擊由疑似朝鮮 Lazarus 黑客組織發起,攻擊者利用 LayerZero 支持的 OFT 跨鏈橋單一驗證者配置漏洞,盜取 116,500 枚 rsETH,並將大部分資產轉入 Aave 作爲抵押,造成約 1.9 億美元壞賬。DeFi United 已獲得多方捐助,包括 Consensys 及 Joseph Lubin 的 3 萬枚 ETH、Mantle 的 3 萬枚 ETH 貸款及 LayerZero 的 5000 枚 ETH。
據 CoinDesk 報道,以太坊聯合創始人 Vitalik Buterin 於 4 月 30 日在進行一筆小額代幣兌換時,遭到知名 MEV 機器人 jaredfromsubway.eth 的三明治攻擊。鏈上數據顯示,Buterin 在區塊 24993038 中將價值約 3.86 美元的 26,544 枚 XDB 代幣換成 0.00197 枚 ETH(約 4.56 美元),機器人隨即調用約 114 萬美元 WETH 在 SushiSwap 和 Uniswap V2 之間操縱價格完成夾擊,扣除 5.14 美元 gas 費後該機器人此次攻擊實際虧損。
據 PeckShieldAlert 監測,TrustedVolumes 遭攻擊,損失約 590 萬美元,包括 302 萬美元 ETH、137 萬美元 WBTC 及 147 萬美元穩定幣;攻擊者已將被盜資金兌換爲 2513 枚 ETH。
Aave 表示,按照此前披露的技術恢復方案,攻擊者在 Ethereum 與 Arbitrum 上的 rsETH 頭寸已在 Aave 完成清算,相關抵押資產現已轉移至 AIP 指定的 Recovery Guardian 地址。Aave 稱,此次處理未影響其他用戶,Umbrella 機制也未受到影響,並表示這是整體恢復路線圖中的關鍵步驟,後續仍將繼續推進相關恢復工作。
Aave 宣佈,已完成對 Kelp DAO 攻擊者剩餘 rsETH 倉位的清算,相關抵押資產將轉入由 DeFi United 管理的 Recovery Guardian 多籤錢包,用於恢復 rsETH 儲備並補償受影響用戶。此次清算爲此前 2.92 億美元攻擊事件恢復計劃的一部分。Aave 此前通過治理投票臨時調整 rsETH 預言機價格,以製造攻擊者倉位壞賬並觸發清算,相關參數將在清算完成後恢復。此前,攻擊者曾通過操縱 Kelp DAO 基於 LayerZero 的跨鏈橋,僞造 11.65 萬枚無抵押 rsETH,並在 Aave、Compound 等協議中借出 ETH。當前,DeFi United 相關恢復資金已超過 3.2 億美元。
據安全機構 Blockaid(@blockaid_)監測,Ekubo Protocol 在以太坊上的一個 v2 自定義擴展合約正遭受持續攻擊,目前已損失約 140 萬美元。攻擊根本原因在於該擴展的 IPayer.pay 回調未對參數來源進行有效限制,導致攻擊者可控制 payer、token 及 amount 參數,進而任意轉移已授權代幣。 Ekubo 核心協議用戶不受影響,但曾授權該 v2 合約(0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd)作爲代幣支出方的用戶面臨直接風險,Blockaid 建議相關用戶立即撤銷授權。
據鏈上分析師 Specter 監測,Wasabi 協議攻擊者已將全部被盜資金存入 Tornado Cash,攻擊者將約 590 萬美元轉入 Tornado Cash。此外,朝鮮黑客組織同樣通過 Tornado Cash 清洗 KelpDAO 及 LayerZero 被盜資金,其先將資產跨鏈至比特幣,再通過 Wasabi Mixer 進行路由,提取後跨鏈回以太坊,存入 Tornado Cash,隨後提取至新錢包並分散至多個地址,接着由新錢包部署代幣,使用被盜資金買入後從部署錢包移除流動性,再跨鏈至 Tron(USDT),持有數小時或數日後發送至 OTC 關聯錢包。
據 Cointelegraph 報道,DeFi 協議 Aave 週一在紐約提交緊急動議,要求撤銷美國律所 Gerstein Harrow LLP 阻止 Arbitrum DAO 向 Kelp 漏洞受害者轉移 30766 枚 ETH 的限制通知。 Gerstein Harrow LLP 上週五向 Arbitrum DAO 送達限制通知,主張其客戶在針對朝鮮的違約判決中應獲賠逾 8.77 億美元。該律所稱,4 月 18 日 Kelp 漏洞背後的朝鮮黑客組織曾持有這些代幣,因此其客戶對相關 ETH 享有法律請求權。
Compound 基金會在 X 平臺發文表示,經與 Kelp 和 Aave 團隊協調,爲避免干擾更廣泛的 DeFi 恢復工作,以太坊 WETH 和 wstETH 的 Comet 市場已恢復交易。其同時指出,根據 Kelp 解凍 rsETH 的具體時間,在與漏洞相關的頭寸清算窗口期間,相關市場仍可能進行臨時暫停,具體安排尚未確定。
Aave LLC 已提交緊急動議,要求撤銷 2026 年 5 月 1 日針對 ArbitrumDAO 發出的資產凍結通知。該通知涉及約 7100 萬美元 ETH,該部分資產屬於 4 月 18 日攻擊事件中的受損用戶。Aave 表示,被盜資產不因竊取行爲獲得合法所有權,相關資金原本用於返還受影響用戶,凍結反而影響補償進程。Aave 已請求法院舉行緊急聽證會並暫時撤銷凍結措施,同時表示將繼續與 Arbitrum 社區及 DeFiUnited 合作推進用戶補償事宜。
據 Cointelegraph 報道,美國律師事務所 Gerstein Harrow LLP 向紐約地區法院申請限制令及三份執行令狀,要求阻止 Arbitrum DAO 轉移因 Kelp 漏洞而凍結的 30,766 枚 ETH(價值約 7300 萬美元)。該律所主張,其客戶曾於 2010、2015、2016 年在美國法院贏得針對朝鮮的缺席判決,合計享有約 8.77 億美元賠償權益,並認爲上述被盜 ETH 屬於朝鮮關聯財產,理應用於抵償債務。 Kelp DAO 於 4 月 18 日遭受價值 2.92 億美元的黑客攻擊,攻擊者被認定爲朝鮮國家支持黑客組織 Lazarus Group 旗下的 TraderTraitor。Aave Labs 此前已提議將凍結資金解凍並轉入"DeFi United"基金,用於補償 rsETH 持有者,但該律所的法律行動或將令受害者等待週期大幅延長。 Arbitrum DAO 社區成員對此提出批評,認爲此舉將朝鮮債務的代價轉嫁至另一批受害者,進一步加重了原有損害。Gerstein Harrow 此前亦曾就 2023 年 Heco Bridge 黑客事件中 Teth
MegaETH 主管 PaperImperium 在 X 平臺披露紐約南區聯邦法院文件顯示,美國法院已向 Arbitrum DAO 發佈禁制令,要求其不得轉移此前在 KelpDAO 黑客事件中被凍結的約 7100 萬美元 ETH 資產。對此,“鏈上偵探”ZachXBT 在 X 平臺發文表示,某些美國律所利用其調查工作和鏈上取證成果幫助某些黑客事件受害者提出法律索賠,但這種做法反而會影響減緩受害者拿到補償/恢復資金。ZachXBT 補充稱,在此前多起涉及 Lazarus Group 的黑客事件中,此類律所通常會在其鏈上資金追蹤或凍結完成後才介入,並提出與加密事件本身關聯較弱的後續法律行動,也曾在 Harmony、Bybit 等事件中採取類似策略進行“搭便車式索賠”,他呼籲加密社區應該成立 DAO 來抵制此類行爲。
MegaETH 主管 PaperImperium 在 X 平臺披露紐約南區聯邦法院文件顯示,美國法院已向 Arbitrum DAO 發佈禁制令,要求其不得轉移此前在 KelpDAO 黑客事件中被凍結的約 7100 萬美元 ETH 資產。原告方試圖將該筆資金用於執行鍼對朝鮮多年來涉及恐怖主義、綁架等案件的未償判決賠償,並已申請以替代送達方式向 Arbitrum DAO 發出法律通知,將其視爲可被追責的“合夥組織”。法院文件還指出,Arbitrum DAO 設有由 ARB 持有人治理的 Security Council,具備在緊急情況下采取行動的能力,因此相關成員若拒絕配合,可能面臨藐視法庭等法律責任。市場認爲,此案或成爲美國司法體系直接約束 DAO 治理結構的重要案例,並進一步凸顯 DeFi 協議在現實法律框架下的合規壓力。
據 Cointelegraph 報道,Arbitrum 委員會投票決定解凍價值 7100 萬美元的以太坊,以遏制 Kelp DAO 漏洞造成的 2.9 億美元損失。
據匿名鏈上偵探 Wazz 披露,數百個錢包在 ETH 主網被同一地址清空,其中多個錢包已超 7 年未活躍。該事件疑似爲新型即時漏洞攻擊。加密用戶 Capitulation 追評表示,最可能的漏洞是在 2020/21 年將助記詞放在 LastPass 的安全筆記中所導致的。
Arbitrum DAO 已啓動治理投票,擬釋放此前凍結的 30,766 枚 ETH,用於支持 Kelp DAO 攻擊後的善後計劃 DeFi United。該部分資產由 Arbitrum 安全委員會在 4 月 20 日凍結,價值約 7110 萬美元,原爲攻擊者轉入 Arbitrum 網絡的資金。若提案通過,這將成爲 DeFi United 計劃中最大一筆資金支持。投票初期,已有 1690 萬枚 ARB 支持該提案,目前暫無反對票,投票將持續至 5 月 7 日。