重點速讀

  • 2026 年 4 月 13 日,Hyperbridge Token Gateway 因 MMR proof 驗證邏輯漏洞遭攻擊,攻擊者鑄出約 10 億枚橋接 DOT 並拋售;後續修正後的實際損失約 250 萬美元,原生 DOT 與 Polkadot 主網未受影響。
  • 2026 年 4 月 18 日,KelpDAO 的 LayerZero V2 Unichain 到 Ethereum rsETH 路徑遭偽造訊息攻擊,約 11.65 萬枚 rsETH 被釋放;其中約 8.96 萬枚被存入 Aave,借出約 8.27 萬 WETH 與 821 wstETH。
  • Aave 合約本身未被攻破,但它被迫凍結 rsETH、wrsETH 與多個 WETH 市場,並推演 1.24–2.30 億美元的壞債情境,顯示跨鏈資產正在改寫 DeFi 抵押品風控標準。

4 月中旬連續兩起跨鏈事故,揭開了 DeFi 抵押品長期被忽視的一層風險。先是 Hyperbridge 的 Token Gateway 在 4 月 13 日被偽造 proof 打穿,攻擊者鑄出約 10 億枚橋接 DOT;五天後,KelpDAO 的 rsETH 跨鏈路徑又被偽造訊息釋放約 11.65 萬枚 rsETH,部分資產隨即進入 Aave,換出真實的 WETH 與 wstETH。這兩件事的金額、技術細節與受害範圍不同,但都指向同一個問題:橋接資產一旦被其他協議當成可借、可抵押、可退出的資產,橋端錯誤就會沿著 DeFi 的資金路徑擴散。

Aave 並非這次 rsETH 事故的攻擊入口。它的合約、供應、還款與清算邏輯照常運作。問題更棘手:Aave 接收這項抵押品時,預設了 rsETH 仍被足額支持。一旦跨鏈橋打穿這個前提,單一 token 出事只是表層,抵押價值的背書基礎也會瞬間崩塌。

因此,這兩起事件不能簡單歸結為「橋被駭」。DOT 事件說明,偽造 proof 可以讓橋接資產在 EVM 流動性池裡被快速拋售;KelpDAO 事件則往前多走了一步:假資產或未充分支持的資產可以穿過橋、穿過流動性路徑,最後進入 Aave 這類共享借貸池。前者打的是市場流動性,後者打的是抵押品信用。

事件路徑

兩起事故真正相同的地方,不是橋被打穿,而是假供給能很快碰到真資產池

這張圖把 4 月 13 日的 Hyperbridge DOT 與 4 月 18 日的 KelpDAO rsETH 放在同一條風險傳導線上讀。

2026-04-13 Hyperbridge Token Gateway

MMR proof 驗證邏輯漏洞讓無效 proof 被接受,攻擊者鑄出約 10 億枚橋接 DOT,並在 EVM 流動性池拋售。

2026-04-18 KelpDAO rsETH / LayerZero V2

Unichain 到 Ethereum 的 rsETH 路徑接受偽造 inbound packet,約 11.65 萬枚 rsETH 被釋放,部分進入 Aave 借出 WETH。

Step 1 驗證邊界失效

proof 或跨鏈訊息被目的鏈合約接受,遠端狀態被錯誤視為真實。

Step 2 假供給出現

橋接 DOT 被超額鑄造,或 rsETH 在沒有源頭 burn 的情況下被釋放。

Step 3 流動性池先承壓

DEX 池或可退出資產先被換走,價格偏離把錯誤變成實際損失。

Step 4 Aave 承接抵押風險

問題資產被當作抵押品借出真 WETH,橋端錯誤變成借貸市場壞債情境。

假 DOT 供給 約 10 億枚

Hyperbridge 稱攻擊者未授權鑄出橋接 DOT 並拋售。

Hyperbridge 實損 約 250 萬美元

後續修正後的 realized loss,限於 Token Gateway 與受影響 EVM 合約。

rsETH 釋放 116,500 枚

Aave 報告指出 Ethereum 端接受了沒有 source-side burn 的封包。

進入 Aave 89,567 枚

攻擊者地址將約 8.96 萬枚 rsETH 存入 Aave 作抵押。

圖表整理自 Hyperbridge 4 月 13 日與 4 月 16 日更新、Aave 4 月 20 日 rsETH Incident Report,以及 LayerZero 4 月 19 日 KelpDAO Incident Statement。重點不是把兩案混為一案,而是標出同一條風險傳導:跨鏈驗證失效後,假供給會先碰到流動性,再碰到抵押品信用。

兩起事故暴露同一條驗證邊界

Hyperbridge 事件表面上很容易被市場低估,因為後續修正後的實際損失約 250 萬美元,遠低於 10 億枚 DOT 這個誇張數字。但在風險結構上,它不小。4 月 13 日,Token Gateway 的 MMR proof 驗證邏輯出現問題,系統誤將無效 proof 視為有效。處理一段惡意訊息後,攻擊者取得 Ethereum 上橋接 DOT 代幣合約的管理控制權,接著鑄出約 10 億枚橋接 DOT,並在去中心化交易所的流動性池裡拋售。

目前確認,事故僅限於 Hyperbridge Token Gateway 與受影響 EVM 網路上的橋接 DOT 合約;原生 DOT、Polkadot relay chain、平行鏈與其他橋接資產未直接受損。這一點很重要,因為它區分了「Polkadot 本身被鑄幣」和「橋接表示物被偽造」兩件事。跨鏈資產的風險不一定等於底層鏈風險,但足以讓持有橋接版本的流動性提供者與交易對手承擔實質損失。

KelpDAO 事件的規模與傳導路徑更大。4 月 18 日 17:35 UTC,一個聲稱來自 Unichain 的跨鏈傳入封包(inbound packet)通過 LayerZero V2 路徑驗證後,在 Ethereum 端釋放 116,500(約 11.65 萬)枚 rsETH。Aave 後續事故報告指出,源頭鏈並無對應的銷毀動作(source-side burn);換句話說,Ethereum 端接受的這筆跨鏈訊息看似格式正常,卻沒有真實的源頭鏈資產動作支撐。

這兩起事故的技術形態不同:一邊是 proof 驗證邏輯漏掉了必要檢查,一邊是跨鏈訊息驗證鏈路被污染;結果卻很接近,目的鏈上的合約相信了一個不該相信的狀態。橋的承諾本來是「A 鏈上的事實可以安全反映到 B 鏈」。一旦這個承諾失效,B 鏈上的 token 就不再只是價格波動問題,還可能變成沒有足額來源支持的記帳單位。

DeFi 風控看待抵押品的視角也得跟著改。過去談抵押品,市場多半看流動性深度、市值、波動率、oracle、清算折扣與集中度;現在還必須問:這個抵押品是原生資產、封裝資產、橋接資產,還是再質押資產的跨鏈表示物?它背後的驗證路徑有幾層?每一層失效時,損失會落在 token 持有人、橋使用者、借貸協議,還是外部保險與治理上?

Aave 合約未被攻破,卻得承接外部資產的信用破口

Aave 在這次事件裡未遭直接攻破,卻仍可能留下壞債。攻擊者拿到 116,500(約 11.65 萬)枚 rsETH 後,很快把資產分散到 7 個分支地址;其中 89,567(約 8.96 萬)枚 rsETH 被存入 Aave,借出 82,650(約 8.27 萬)WETH 與 821 wstETH。這些倉位的健康因子落在 1.01–1.03 之間,剛好卡在接近清算但不容易立刻處理的位置。

Aave 的第一反應是凍結。4 月 18 日約 19:00 UTC,rsETH 與 wrsETH 在多個 Aave V3 部署上被凍結,LTV 設為 0,新的供應與借款被關閉,既有倉位仍可還款與清算。4 月 20 日 02:00 UTC 左右,Aave 又凍結 Ethereum Core、Prime、Arbitrum、Base、Mantle 與 Linea 上的 WETH,以防 WETH 壓力進一步外溢到穩定幣等其他儲備市場。

這些動作說明 Aave 的風控框架在技術上有反應能力,但也暴露共享借貸池的另一面。當攻擊者用問題資產借出真實 WETH 後,池子的剩餘流動性會被快速抽乾。對普通供應者而言,即使合約沒有被駭,只要 WETH 達到 100% 利用率,提款就會變成等待流動性回來的問題。協議安全和使用者流動性安全,在這一刻分開了。

Aave 事故報告提出兩種情境。若損失由全體 rsETH 持有者共同分攤,壞債約 1.24 億美元(精確值 1.237 億);若損失隔離在 L2 rsETH,壞債約 2.30 億美元(精確值 2.301 億),主要落在 Mantle、Arbitrum、Base、Ink 等市場。兩種情境差異極大,因為 KelpDAO 對 rsETH 底層資產儲備(backing)、贖回與損失分配的定義,會直接決定 Aave 手裡這筆抵押品的價值。

攻擊者借走的是 WETH 與 wstETH 這類真資產;留在協議裡的 rsETH 抵押品,價值該不該打折、打幾折、由哪條鏈承擔,都成了問題。Aave 的合約可以照規則清算,但如果抵押品的外部價值突然低於債務,清算機制只能把問題結算出來,不能讓差額消失。

Aave 風險暴露

攻擊者留給 Aave 的不是合約漏洞,而是一組抵押品價值該如何折價的壞債情境

左側看攻擊者倉位的抵押與借款,右側看 Aave 報告中兩種壞債模型的量級差異。
Screenshot 2026-04-23 at 23.49.30.png

Scenario 1 約 1.237 億美元壞債

假設損失由全體 rsETH 供給均攤,每枚 rsETH 保留約 84.89% oracle 價值;Ethereum Core 絕對金額最大,但比例壓力較低。

Scenario 2 約 2.301 億美元壞債

假設損失隔離在 L2 rsETH,L2 抵押品按 26.46% backing repricing;Mantle、Arbitrum、Base、Ink 壓力最大。

Aave 4 月 20 日 rsETH Incident Report 指出,攻擊者把 89,567 枚 rsETH 存入 Aave,借出 82,650 WETH 與 821 wstETH;同一份報告列出兩種壞債情境,總額分別為 123,708,727 美元與 230,113,582 美元。圖表只重建報告中的核心量級,非即時鏈上餘額。

LayerZero 的 1-of-1 爭議,讓「參數配置」升級為安全事件

KelpDAO 事件牽連 LayerZero,rsETH 使用 LayerZero V2 跨鏈路徑只是第一層關係。更直接的問題是,Unichain 到 Ethereum 這條路徑僅配置單一 DVN(1-of-1)。簡單說,目的鏈接受跨鏈訊息前,只需要一個必要驗證者完成驗證,沒有其他獨立 DVN 作為冗餘檢查。一旦這條觀察鏈路遭到污染,目的鏈合約仍會收到一個可執行訊息。

LayerZero 對外說法把事故歸因於 KelpDAO 的單一 DVN 配置,並表示攻擊者污染了 LayerZero Labs DVN 使用的下游 RPC 基礎設施,再透過 DDoS 使乾淨 RPC 失效,迫使系統依賴被污染的資料來源。LayerZero 同時表示,這不代表協議程式碼、DVN 私鑰或金鑰管理系統(key management)已遭直接攻破,且會停止為 1-of-1 配置的應用簽署或驗證訊息。

重點不在歸責,而在於參數配置本身就是主戰場。LayerZero 對外聲明明確主張生產路徑不應只配置單一 DVN;其 Integration Checklist 也提醒應用必須為每條 pathway 手動設定 DVN、執行器與相關安全假設。DeFi 真正運作時,很多風險不在合約函式本身,而在部署參數、預設值、運維流程、RPC 來源與多方服務商責任邊界。

一般用戶很難察覺這類風險。它比典型的智能合約漏洞(smart contract bug)更隱蔽。多數人聽得懂「合約被駭」,卻很難理解為什麼一個 token 明明還在錢包裡、合約也沒有重入或溢位問題,突然要折價 15%、70%,甚至更高。原因在於,token 合約本身不足以維持跨鏈資產的價值;這類資產還靠遠端鏈的 burn/mint 或 lock/release 關係、訊息驗證者、oracle、流動性池與發行方承諾共同維持。

如果沒有一併檢視這些元件,抵押品表面上會很漂亮。它有 ticker、有 TVL、有流動性池、有積分或收益敘事,也可能已被大型借貸協議上市。但一旦發現橋的某個配置點是單點失效,市場就會突然意識到:所謂抵押品品質,包含了一整條跨鏈供應鏈。

Pathway 設定

這次爭議把「安全參數」從部署細節推到抵押品信用的正中央

LayerZero 的重點不是只有 DVN 名稱,而是每條方向性 pathway 都要明確設定驗證者、執行器與冗餘。

KelpDAO 事故路徑 1-of-1 DVN

Unichain → Ethereum 的 rsETH 路徑只需要單一 DVN 驗證;一旦 RPC 觀察鏈路被污染,目的鏈仍可能收到可執行訊息。

冗餘 沒有 optional DVN
風險 單點失效

LayerZero 文件要求 手動設定每條 pathway

文件要求檢查 send/receive library、Executor、DVN config、peer mapping 與 delegate;A → B 和 B → A 要分開審。

重點 不要依賴預設值
方向 pathway 是單向

生產路徑基準 多 DVN + 冗餘

LayerZero 表示生產路徑不應只配置單一 DVN,且 LayerZero Labs DVN 將不再替 1/1 設定的應用簽署或驗證訊息。

冗餘 多個獨立 DVN
目標 降低單點信任
Screenshot 2026-04-23 at 23.54.30.png
LayerZero 4 月 19 日聲明稱,KelpDAO rsETH 當時使用 1/1 DVN 設定,攻擊者污染 LayerZero Labs DVN 的下游 RPC 基礎設施並以 DDoS 迫使 failover;同一份聲明主張生產 pathway 應使用多 DVN 冗餘,LayerZero Integration Checklist 則要求明確檢查每條方向性路徑的 config。

假供給會先打穿流動性,再測試治理願意由誰買單

把 DOT 事件與 rsETH 事件放在同一篇文章裡,是為了看清假供給的第一段傳導。攻擊者鑄出的 10 億枚橋接 DOT,並不等於 Polkadot 主網憑空多出 10 億枚原生 DOT;但在 Ethereum、Base、BNB Chain、Arbitrum 等受影響環境裡,橋接 DOT 的流動性池會先被市場吃掉。價格偏離發生時,套利者、機器人與普通使用者可能用極低成本換走池裡剩餘的真資產或可提領資產。

Hyperbridge 後續因此開啟自願返還窗口。團隊追蹤到,一些在事故期間或事故後不久從 DOT escrow 提走資金的錢包,可能不是原始攻擊者,而是在價格嚴重失真的池子裡交易後把 DOT 橋回 Polkadot 的使用者。這類情境很難用單純的「駭客 vs 受害者」二分法來劃分,因為鏈上交易本身可能有效,其價值卻來自被打穿的流動性池。

KelpDAO 與 Aave 的問題則是第二段傳導。假供給或未充分支持的資產,先流入 DEX 拋售,再被拿去借貸市場抵押。損失分配因此從「誰在池子裡提供流動性」擴大成「誰供應了 WETH、誰持有 rsETH、誰在 L2 接受橋接版本、誰應該補足壞債」。協議開始討論如何動用 treasury 與保險模組、外部合作方及生態參與者是否介入時,技術事故已經升級為治理與信用事件。

這種外溢很容易被低估,因為 DeFi 一直把可組合性當成效率來源。資產可以被鑄造、橋接、抵押、再借出、再流入另一個池子,所有流程都在數分鐘內完成。平時這叫資本效率;事故發生時,同一條路徑會把錯誤放大。可組合性本身沒有錯,但它會縮短錯誤從橋端傳到借貸池的時間。

即使採取較保守的視角,這一輪事故也不會終結跨鏈,也不會讓 Aave 這類借貸協議失去地位。Aave 的快速凍結、利率調整與情境建模,反而顯示成熟協議已經具備一定緊急處置能力。但不能直接外推為風險已經被吸收。只要損失分配、回收金額、KelpDAO 決策、LayerZero 後續標準與 Aave 市場解凍路徑仍未完全落地,這件事就還在改寫市場對跨鏈抵押品的折價。

下一個風控標準:同時審 token、橋、路徑與參數配置

這兩起事故對 DeFi 借貸最直接的衝擊在於:抵押品審核已經無法只停在 token 層。未來如果某個資產要被放進 Aave、Compound、Morpho 或其他借貸市場,風控委員會不能只問它的市值、交易量、oracle 來源與清算折扣,還要問它是否跨鏈、使用哪個橋、哪條 pathway、幾個驗證者、是否有可讀的 on-chain config、是否有 rate limit、是否有緊急暫停,以及發行方是否針對橋端損失情境,明確承諾贖回權的處理方式。

更具體地說,至少有三個變數需要重新定價。第一是抵押品折扣。橋接資產、LST、LRT 與 OFT 類資產可能需要更高的折價率(haircut)、更低的 LTV,甚至分鏈定價,不能再讓所有版本共享同一個風險參數。第二是流動性假設。WETH 達到高利用率時,清算與提款不一定能照模型順利完成,因此風控不能只看理論抵押率。第三是責任邊界。當橋端、發行方與借貸協議各自都說「我的核心系統未遭攻破」時,使用者真正關心的是誰能補足缺口。

換句話說,DeFi 的抵押品信用正在從「鏈上可驗證」轉向「多方可追責」。如果一個資產需要跨鏈訊息、外部 RPC、DVN、oracle、發行方與治理共同維持價值,它就已經超出單一合約風險,接近一條小型金融中介鏈。去中心化不會自動消滅信用風險,它只是把信用風險拆成更多可配置、可觀測,卻更容易被忽略的元件。

這不代表所有橋接資產都不能作為抵押品。相反,跨鏈資產仍會是多鏈 DeFi 的必要部件。但經過假 DOT 與假 rsETH 這兩次壓力測試,市場更難接受「看起來能轉、能交易、能抵押」就等於安全。接下來要追問的是:一旦橋端出錯,錯誤會被限制在哪裡?誰能暫停?誰能補償?哪個市場先被凍結?oracle 何時調整?壞債由 treasury、保險模組、token 持有人、鏈上使用者還是外部服務商承擔?

後續能否落地,取決於三個問題。第一,Hyperbridge 的修補、審計與 Token Gateway 恢復時間表,能否讓受害者看到更明確的回收路徑。第二,KelpDAO、LayerZero 與相關生態方,能否就 rsETH 底層資產儲備(backing)、贖回與損失分配給出可執行方案。第三,Aave 能否在不把壞債無限外部化的情況下,逐步恢復 WETH 與受影響市場的正常流動性。

跨鏈橋真正的風險爆發點,往往在其他協議誤把假資產當成真抵押品的那一刻。4 月的兩起事故已經把這句話變成市場成本。下一輪 DeFi 風控如果還只審 token、不審橋;只看 TVL、不看驗證路徑;只看抵押率、不看誰承擔橋端失誤,那麼假供給仍會找到下一個真資產池。