coin-img-ETHETH-2.89%coin-img-BTCBTC-1.87%coin-img-SOLSOL-3.27%coin-img-XRPXRP-2.65%coin-img-TOMTOM+24.28%coin-img-BENZBENZ+341.84%coin-img-USDCUSDC-0.01%coin-img-RAVERAVE-88.50%coin-img-ETHETH-2.89%coin-img-BTCBTC-1.87%coin-img-SOLSOL-3.27%coin-img-XRPXRP-2.65%coin-img-TOMTOM+24.28%coin-img-BENZBENZ+341.84%coin-img-USDCUSDC-0.01%coin-img-RAVERAVE-88.50%coin-img-ETHETH-2.89%coin-img-BTCBTC-1.87%coin-img-SOLSOL-3.27%coin-img-XRPXRP-2.65%coin-img-TOMTOM+24.28%coin-img-BENZBENZ+341.84%coin-img-USDCUSDC-0.01%coin-img-RAVERAVE-88.50%coin-img-ETHETH-2.89%coin-img-BTCBTC-1.87%coin-img-SOLSOL-3.27%coin-img-XRPXRP-2.65%coin-img-TOMTOM+24.28%coin-img-BENZBENZ+341.84%coin-img-USDCUSDC-0.01%coin-img-RAVERAVE-88.50%

Kelp DAO rsETH 跨鏈橋疑遭入侵損失2.92億美元,Aave受牽連緊急凍結市場

Odaily星球日報|作者:Azuma 4月19日(北京時間),DeFi再爆重大安全事故。鏈上數據顯示,今日凌晨約1:35,第二大流動質押協議Kelp DAO基於LayerZero的rsETH跨鏈橋合約疑遭黑客利用,損失116,500枚rsETH,按當時估值約2.92億美元。 追蹤鏈上記錄可見,涉事攻擊地址在事發前約10小時曾從混幣協議Tornado Cash獲得1 ETH作為初始資金,之後該地址在LayerZero的EndpointV2合約上呼叫lzReceive函數,觸發Kelp的橋接合約將116,500枚rsETH轉至另一個攻擊者地址。 事發約兩個半小時後,Kelp DAO在X上確認遇襲,稱較早前發現rsETH相關可疑跨鏈活動,調查期間已暫停主網及多條Layer2上的rsETH合約,並正與審計方及LayerZero、Unichain的安全專家共同監控情況,後續將透過官方渠道更新。 多個DeFi項目及安全機構其後分析事件成因。社群廣泛引用D2 Finance的判斷:LayerZero Scan將訊息來源端點標示為Kelp DAO,顯示該訊息來自Kelp自身合法部署的端點合約,且該路徑過往已累積308個message nonce紀錄,推斷根本原因更可能是來源鏈私鑰被攻破。TinyHumans AI開發者Steven Enamakel亦補充,相關設計僅由1/1驗證者集合(DVN)保護,意味只要驗證者發出一次錯誤交易,便足以引發風險。 黑客其後利用Aave等借貸協議作為退出通道,外界憂慮將導致壞賬。由於rsETH自身交易流動性有限,黑客選擇把rsETH作抵押,向Aave等借出流動性更佳的wETH。PeckShield Alert監測顯示,截至今日凌晨4:30,黑客已把被盜rsETH存入Aave V3、Compound V3、Euler等借貸協議,並大量借出WETH,總負債超過2.36億美元;其中Aave約1.96億美元、Compound約3,940萬美元、Euler約84萬美元。 事件曝光後,Aave迅速凍結Aave V3與V4上的rsETH市場。團隊其後在X上表示,Aave合約本身未被入侵,問題與rsETH相關;凍結rsETH旨在評估期間阻止新增rsETH存款及抵押借款,同時正檢視事發後在Aave上的rsETH借款行為,將盡快披露更多細節。其後Aave更新帖文補充,若事件最終令協議出現壞賬,將研究填補缺口的方案。 截至截稿,壞賬規模仍未明朗。Spark(Aave直接競爭對手)策略負責人monetsupply.eth估算,若rsETH出現19%折價(相當於rsETH總供應量的19%被盜),在高槓桿循環借貸影響下,Aave可能面臨逾1億美元壞賬。Aave生態治理代表團隊Aave Chan Initiative(ACI)創辦人Marc Zeller則持不同觀點。他在事發後提醒用戶盡快從Aave V3提走WETH以降低損失風險,同時確認Aave上的USDC與USDT市場未受影響。針對有用戶猜測壞賬或達數億美元,他回應稱:"遠低於該數字。" Zeller亦指出,這將是檢驗Umbrella能否在真實環境發揮作用的時刻。Umbrella為Aave的自動化安全模組,本質上是用於覆蓋壞賬的儲備池:用戶可存入資產以獲取更高激勵,但一旦協議出現壞賬,池內資產也需承擔潛在損失。Aave協議數據顯示,Umbrella目前約有5,000萬美元等值的WETH可用於應對本次事件可能帶來的壞賬,但是否足以覆蓋缺口仍有待觀察。 受消息影響,AAVE短線下跌近10%,截稿時報104.6 USDT。 4月再現數億美元級別安全事故 本月並非首次出現重大安全事件。4月1日,Solana生態衍生品交易協議Drift Protocol遭遇攻擊,損失最高達2.8億美元(見《April Fools' Joke? Drift Protocol Stolen Over $280 Million, Possibly the SecondLargest DeFi Heist on Solana》)。事後Drift Protocol將被盜歸因於"北韓黑客",所幸Tether等機構承諾提供1.475億美元補償,用戶仍保留部分追回希望。 事隔十餘日,更大規模的入侵再次發生。事件最終將如何收場、DeFi是否仍有相對安全的去處,再度成為市場焦點。 DeFi安全風險正持續升溫:一方面黑客事件頻發;另一方面,Mythos等AI系統帶來的安全威脅亦在擴大(見《Odaily Interview with Yu Xian: How Did the Anthropic NuclearLevel Model Leak Impact Crypto Security Defense?》)。過去用戶傾向把資金集中到審計充分、口碑良好的頭部協議,如今連Aave這類零售用戶普遍較少懷疑的頂級協議亦受到間接衝擊,資金應如何配置更具挑戰。 在目前環境下,不建議用戶把大額資金長期留在鏈上;如確有需要,務必做好分散配置與倉位隔離。 截至發稿,事件仍有大量細節未明。Odaily將持續跟進。
精選
ETH
ETH-2.89%
AAVE
AAVE-13.75%
免責聲明:以上內容均來源自第三方觀點,不代表 BingX 的立場,亦不構成任何財務建議。詳情請參閱《使用條款》