价值2.9亿美元的加密货币遭黑客攻击偷走

dootbear

彭博社：价值2.9亿美元的加密货币遭黑客攻击偷走 引发DeFi传染性冲击

黑客在周六利用了一座跨链桥漏洞，从去中心化金融基础设施中的一个关键环节窃取了近3亿美元资产，并在多个加密平台之间引发连锁反应。

攻击者通过针对一座使用LayerZero构建、用于不同区块链之间通信的跨链桥，转移了约116,500枚rsETH，这是Kelp DAO发行的一种代表“再质押”以太坊的代币。

总损失估计约为2.93亿美元，使其成为2026年规模最大的DeFi攻击事件。

Kelp DAO在社交平台X上发文称：“我们发现了涉及rsETH的可疑跨链活动。我们已暂停主网和多个二层网络上的rsETH合约，以便展开调查。”

Kelp DAO是一个再质押协议，允许用户存入像stETH或cbETH这样的热门质押代币，并获得rsETH作为回报。用户随后可在其它加密应用中使用rsETH，同时继续赚取收益。

正是这种灵活性，帮助rsETH广泛流通于去中心化借贷、交易和流动性平台之间。

而这种高度互联性，也迅速使这次漏洞演变成更广泛的市场问题。

安全公司Cyvers表示：“这不仅仅是一次单一协议漏洞事件，它立即演变成了一场跨协议传染事件。”

该公司估计，至少还有另外九个平台受到影响。

简单来说，DeFi协议通常是层层叠加的。像rsETH这样的资产会在多个服务中被重复使用，例如作为贷款抵押品，或被用作交易池中的流动性。一旦其中一个环节失效，就可能动摇所有使用该资产的地方。

Cyvers首席执行官戴迪·拉维德（Deddy Lavid）表示：“这正是凸显DeFi互联系统风险的典型事件。挑战已经不再只是防止合约层面的漏洞，而是要理解它们会以多快速度在整合后的协议间扩散。”

资产锁仓规模超过200亿美元、作为最大DeFi借贷协议的Aave，已冻结与rsETH相关的市场，以控制损失扩大。

该平台表示：“冻结rsETH市场可防止在情况评估期间，继续新增存款或以rsETH作为抵押借款。”根据Coingecko数据，其代币在周日亚洲交易时段下跌了20%。

Cyvers首席技术官多列夫（Meir Dolev）表示，情况本可能更糟。

他说，该协议“距离再损失1亿美元只差三分钟”，但快速拉黑措施阻止了攻击者的第二次尝试。

这次黑客攻击超过了此前基于Solana的项目Drift遭遇的漏洞事件，成为今年规模最大的DeFi攻击，同时也发生在该行业一个高度敏感的时刻。





来源：

https://www.bloomberg.com/news/a ... ?srnd=homepage-asia

By Sidhartha Shukla
April 19, 2026 at 6:20 PM GMT+10

dootbear

本文要点:

1. 黑客利用跨链桥漏洞窃取约2.93亿美元rsETH，成为2026年迄今规模最大的DeFi攻击事件。

2. rsETH在多个DeFi协议中被反复使用，导致此次单点漏洞迅速演变成跨平台的传染性风险。

3. Aave等平台已紧急冻结相关市场，试图遏制损失扩散，但行业对系统性风险的担忧明显加剧。

liangyu42087

玩币的要认清几个点。

1. 这个市场缺乏监管 - 所以类似交易所破产、被黑等等都是时常发生。
2. 所有除了btc以外的币都是alt coin （包括eth）
3. 以前安全 - 但是随着AI的崛起以后也不一定安全。

SoftSome

钱币转到哪里了一查便知吧

pollozhao

SoftSome 发表于 2026-4-20 08:55
钱币转到哪里了一查便知吧

能查到收钱地址又如何，反正匿名，无监管，没有冻结返还机制。就跟现金丢了一样，你能背下来钱的序列号也没用。

wangwalter

not safe?

SoftSome

pollozhao 发表于 2026-4-20 09:26
能查到收钱地址又如何，反正匿名，无监管，没有冻结返还机制。就跟现金丢了一样，你能背下来钱的序列号也 ...

可不可以封锁那个收钱地址？

pollozhao

SoftSome 发表于 2026-4-20 09:45
可不可以封锁那个收钱地址？

当然不可以。无监管的意思是你没法到法庭起诉一个匿名的黑客，要求通过执法部门封锁那个收钱地址。 他们链上能做到只是即时止损，防止更多的损失。已经丢了的，那就是丢了。

benaus

厉害啊

SoftSome

pollozhao 发表于 2026-4-20 10:54
当然不可以。无监管的意思是你没法到法庭起诉一个匿名的黑客，要求通过执法部门封锁那个收钱地址。  ...

技术上是可以封锁那个收钱地址的？

lostme

有钱人玩的，所以没了也就没了

liangyu42087

SoftSome 发表于 2026-4-20 11:20
技术上是可以封锁那个收钱地址的？

去中心化。。。。

如何封锁？

kolinxu

AI & Enterprise

Anthropic“Claude Mythos”加剧安全担忧 AI安全范式或迎重构

今天的新闻是说，这家公司的新模型在于网络安全方面的能力太出众，可以在很短的时间内发现漏洞

************************

Mythos引发网络攻防新焦虑 新加坡金管局要求银行补上安全漏洞
随着对Anthropic PBC最新人工智能（AI）模型Mythos的担忧蔓延至亚洲，新加坡金融监管机构正敦促银行堵上网络安全漏洞。

新加坡金融管理局发言人在回应关于Mythos所带来风险的询问时表示，金管局正与该国网络安全机构协调，加强包括银行在内的关键基础设施运营方的防御能力。Mythos是Anthropic推出的一款新AI模型，该公司认为该模型“过于危险”，不宜广泛发布。

该发言人表示：“金融机构需要加倍努力强化安全防线，主动识别并修补漏洞，提高网络安全习惯，包括及时进行安全补丁更新。”发言人补充称，人工智能的进步将“加速IT系统中软件漏洞的发现与利用”。

新加坡网安局4月15日发文，就前沿AI模型可能带来的风险发出警示，但并未直接点名Mythos。

SoftSome

liangyu42087 发表于 2026-4-20 13:15
去中心化。。。。

如何封锁？

整个软件记账转账，这个软件是有人维护的吧？

liangyu42087

SoftSome 发表于 2026-4-20 20:54
整个软件记账转账，这个软件是有人维护的吧？

没有。

去中心化是没有一个中心记账的点的 - 是靠着全世界所有的算力来共同记账的。

比如BTC - 全世界假如有100w人都在挖矿 （记账）- 等于你如果要撤销这个记录就需要全世界100w人全部同意。。。。。