2026年4月18日，Kelp DAO基于LayerZero的rsETH跨链桥遭到攻击，黑客伪造了约11.65万枚价值2.92亿美元的rsETH，成为2026年迄今最大的DeFi安全事件。攻击的核心源于Kelp DAO配置的单点验证漏洞（1-of-1 DVN），即仅依赖一个验证节点，黑客攻破后即可伪造跨链消息（攻击已明确指向朝鲜Lazarus Group）。攻击者随即将无抵押的rsETH存入Aave等借贷平台，借走了约2.36亿美元的真实资产，给Aave造成了1.77亿至2.3亿美元的潜在坏账，并引发了九大协议紧急冻结rsETH市场，全球DeFi总锁仓量在一日内蒸发超200亿美元。

紧急处置与行业协作——Aave迅速牵头成立了“DeFi United”联合救助机制，Lido、Mantle、ether fi等核心协议及Aave创始人Stani Kulechov个人累计承诺出资已超过1亿美元用于修复资产池。更为关键的操作来自Arbitrum安全委员会，其通过9/12多签紧急升级，成功追踪并冻结了黑客账户中约3万枚ETH（价值约7000万美元），这是Stage 1 L2历史上首次在安全危机中启用委员会权限。

影响与反思——此次事件对DeFi的冲击极为深远。摩根大通分析师迅速指出，DeFi因安全漏洞和TVL增长乏力正持续压制机构兴趣。跨链桥在“自由灵活”与“绝对安全”之间的结构性两难暴露无遗——同时Kelp DAO采用的超低安全配置，也为整个行业的安全标准敲响了警钟。#rsETH攻击事件后续进展