博链BroadChain获悉,4月19日,攻击者通过伪造LayerZero跨链消息,从Kelp DAO桥接合约中盗取116,500枚rsETH(约2.92亿美元)。攻击者随后将盗取的rsETH抵押至Aave V3,借出约2.36亿美元wETH。由于桥接储备已被清空,该批rsETH实际已无底层资产支撑,导致Aave V3产生约1.77亿美元坏账。46分钟后,Kelp暂停合约,但攻击者后续两次尝试均告失败。
此次事件暴露了流动性再质押代币在跨链架构与协议依赖中的复合风险,Aave新一代后备系统Umbrella面临首次重大压力测试,多个DeFi协议已暂停相关市场。