距 4 月 18 日 Kelp DAO rsETH 跨链桥遭黑、116,500 颗 rsETH（约 2.92 亿美元）被抽走的事件已过两周。Kelp 4 月 29 日公告完成跨链桥全面升级，ether.fi 同日同步公布 weETH 三层安全硬化方案并加入 DeFi United 集体救援，捐赠 5,000 ETH▼。LayerZero、Consensys、Mantle 等多方累积已动员逾 70,000 ETH▼ 救援资金，DeFi United 从事件爆发进入结构性后处理阶段。

Kelp 4/29 跨链桥升级：验证者改 4-of-4、Ethereum 唯一枢纽

原本攻击者在 4 月 18 日利用 Kelp 跨链桥仅设定 1-of-1 DVN（Decentralized Verifier Network）的单点配置，伪造跨链讯息抽走 rsETH。Kelp 4/29 公告完成的硬化动作把验证机制与拓扑结构重新设计：

第一，验证节点从 1 个扩增为 4 个独立 attestors—Canary、Horizen、LayerZero Labs、Nethermind—每条路径进出皆需 4 个全部验证通过，攻击者必须同时攻陷分属四个独立基础设施与司法管辖区的安全运营，才能伪造一则跨链讯息。第二，所有链的区块确认数从 42 提高至 64，提升重组攻击（reorg attack）的成本。第三，拓扑结构从 full mesh 改为 hub-and-spoke，所有 L2 对 L2 的直接路由废除，所有跨链讯息皆强制经由以太坊主网中转，移除 L2 之间的横向依赖、缩小攻击面积。

Kelp 在公告中强调「每一个偏离 LayerZero 预设值的设定都严格更强、绝不更弱」，并表示后续仍将「研究更安全的跨链基础设施供应商」，留下未来换掉 LayerZero 的伏笔。

ether.fi 同步硬化 weETH 并加入 DeFi United，捐 5,000 ETH

ether.fi 4/29 18:13 UTC 公告：虽然自家 weETH 因事前已强制执行「2 个以上 DVN」设定、未直接受害，仍对 weETH 在全部 20 条部署链上执行协议级安全硬化。三层具体升级：

第一层 Message Library Pinning：把 SendUln302 与 ReceiveUln302 地址直接钉进 weETH 的 OApp 设定槽，LayerZero 的多签钱包再也无法替换成绕过 DVN 验证的 library；第二层 DVN 配置钉选 + 4/4 门槛：固定四个 DVN 集合，每则跨链讯息需 4/4 全数通过，任何一个 DVN 不可用或被攻破都会直接中断讯息；第三层 Pair-Wise Rate Limits：对每条 (来源链, 目的链) 路径设定保守的进出 weETH 上限，限额由 ether.fi 自家合约直接控制、不受上游 bridge 提供商影响。

升级结果是「LayerZero 的多签完全无法在链上修改 weETH 的 bridge 设定，所有安全参数皆由 ether.fi 自家多签独家掌控」。ether.fi 同步宣告加入 DeFi United、由其基金会捐赠 5,000 ETH▼ 进入专责救援金库，并评估引入 Chainlink CCIP 或 Wormhole 作为第二个跨链讯息提供商，且将于 6 月底前停用 weETH 在 Scroll、Swell、Bera、zkSync、Mode、Blast、Morph、Sonic 等链上的桥接服务。

DeFi United 满两周：动员逾 70K ETH，USDC 借贷利率反应

由 Aave 主导发起、横跨多个 DeFi 协议的 DeFi United 救援联盟，自 4/24 起两周内快速扩张。主要捐赠与贡献包括：LayerZero Labs 承诺逾 10,000 ETH▼（5,000 ETH▼ 注入 DeFi United、5,000 ETH▼ 注入 Aave 流动性池）、Consensys 承诺最高 30,000 ETH▼、Mantle 拟以 30,000 ETH 形式贷给 Aave、ether.fi Foundation 5,000 ETH▼、Puffer Finance 动用部分国库资本、River 注入 300 万美元 USDT。DeFi United 募款 4/26 已突破 10 万独立地址捐款。

救援资金的注入直接反映在 Aave 借贷市场的利率上。根据链上分析师 DefiScope 4/30 观察，当 Mantle 公告 30K ETH▼ 贡献的讯息发布瞬间，Aave 上的 USDC▲ 借贷利率从约 15% 直接降至 6.23%，市场利用率（utilization）从接近 100% 回落至 91.5%，主要对应约 1 亿美元的 USDC▲ 还款流入（多为 USDe 套利杠杆解锁）。换言之，「集体救援」不只是公关动作，而是真实重塑借贷市场流动性条件的力量。

不过，事件的后处理仍未完成。链上观察者指出，攻击发生 12 天后，攻击者仍持有约 107,000 颗 rsETH 在 Aave 与 Compound 上的抵押仓位，这些仓位至今未被清算。原因是 unwind 这些仓位需要 Aave 与 Compound 两边的治理提案、暂时性的 oracle 调整、多签控制的清算流程、以及透过 Kelp 的赎回路径—是一场「委员会式清算」，往往需数周才能完成。Aave 计划从 7 个攻击者地址回收这 107K rsETH。从技术硬化、集体救援动员、到呆帐回收，DeFi 对「事后处理」的协调能力，正在这次事件中接受第一场真正的压力测试。

本文链接地址：https://www.wwsww.cn/ytf/38545.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。