2026年4月18日，Kelp DAO基於LayerZero的rsETH跨鏈橋遭到攻擊，黑客偽造了約11.65萬枚價值2.92億美元的rsETH，成為2026年迄今最大的DeFi安全事件。攻擊的核心源於Kelp DAO配置的單點驗證漏洞（1-of-1 DVN），即僅依賴一個驗證節點，黑客攻破後即可偽造跨鏈消息（攻擊已明確指向朝鮮Lazarus Group）。攻擊者隨即將無抵押的rsETH存入Aave等借貸平台，借走了約2.36億美元的真實資產，給Aave造成了1.77億至2.3億美元的潛在呆帳，並引發了九大協議緊急凍結rsETH市場，全球DeFi總鎖倉量在一日內蒸發超200億美元。

緊急處置與行業協作——Aave迅速牽頭成立了“DeFi United”聯合救助機制，Lido、Mantle、ether fi等核心協議及Aave創始人Stani Kulechov個人累計承諾出資已超過1億美元用於修復資產池。更為關鍵的操作來自Arbitrum安全委員會，其通過9/12多簽緊急升級，成功追蹤並凍結了黑客帳戶中約3萬枚ETH（價值約7000萬美元），這是Stage 1 L2歷史上首次在安全危機中啟用委員會權限。

影響與反思——此次事件對DeFi的衝擊極為深遠。摩根大通分析師迅速指出，DeFi因安全漏洞和TVL增長乏力正持續壓制機構興趣。跨鏈橋在“自由靈活”與“絕對安全”之間的結構性兩難暴露無遺——同時Kelp DAO採用的超低安全配置，也為整個行業的安全標準敲響了警鐘。#rsETH攻击事件后续进展