Gate-News-Mitteilung, 19. April — Am 18. April um 17:35 UTC nutzte ein Angreifer eine Schwachstelle in der layerZero-gestützten plattformübergreifenden Bridge von Kelp DAO aus und gab 116.500 rsETH (ungefähr $293 Millionen und rund 18% des im Umlauf befindlichen Token-Angebots) an eine vom Angreifer kontrollierte Wallet frei, ohne dass eine entsprechende ETH gesperrt wurde. Anschließend deponierte der Angreifer das unbesicherte rsETH bei Aave V3 und V4 als Sicherheiten und lieh echtes gewrapped Ether (WETH) dagegen. Als das Notfall-Multisig von Kelp das Protokoll 46 Minuten später einfroste, war das WETH bereits abgezogen.
Die Schwachstelle in der Bridge ermöglichte es dem Angreifer, eine maßgeschneiderte Nachricht zu übermitteln, die die Prüfungen zur Verifizierung bestand, obwohl es auf der Quellkette keine tatsächliche Einzahlung gab. Zwei weitere Versuche um 18:26 und 18:28 UTC, um jeweils zusätzlich 40.000 rsETH abzuziehen, wurden rückgängig gemacht, nachdem die Pause aktiviert worden war.
Aave weist nun zwischen $177 Millionen und $236 Millionen an uneinbringlichen Forderungen auf, konzentriert in dem rsETH/WETH-Paar auf Ethereum. Der Gesamtwert, der bei der Plattform gesperrt ist (TVL), sank ungefähr $6 Milliarden, die WETH-Markt-Auslastung erreichte 100% (und verhinderte weitere Auszahlungen), und der AAVE-Token fiel um über 18%. Der Versicherungsfonds für Umbrella von Aave hält etwa $50 Millionen und lässt damit eine erhebliche Lücke. Die Kreditpositionen sind praktisch nicht liquidierbar, da rsETH-Sicherheiten nicht eingelöst werden können und nicht nahe am Peg gehandelt werden, sobald die unbesicherte Emission vollständig als solche erkannt wird.
SparkLend, Fluid und Upshift pausierten oder froren rsETH innerhalb von Stunden ein; die isolierte Marktarchitektur von Morpho begrenzte das Risiko auf etwa $1 Millionen über zwei Märkte. rsETH über mehr als 20 Ketten hinweg ist nun bis zur Veröffentlichung eines Abgleichs der Reserven gegen das ausstehende Angebot durch Kelp mit Unsicherheit bezüglich der Deckung konfrontiert. Dieser Exploit markiert den größten DeFi-Vorfall des Jahres 2026; die kumulierten DeFi-Verluste für das Jahr belaufen sich auf zwischen $450 Millionen und $482 Millionen über etwa 45 Protokolle.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Krypto-Walfisch verklagt Coinbase wegen $55M gestohlenen DAI
Ein anonymer Krypto-Whale, der als „D.B.“ identifiziert wurde, hat am Montag eine Klage gegen Coinbase und einen angeblichen Dieb eingereicht. In der Klage wird behauptet, die Börse habe die Rückgabe eingefrorener Gelder, die mit einem Krypto-Diebstahl aus dem Jahr 2024 im Wert von ungefähr 55 Millionen US-Dollar in DAI verbunden seien, unrechtmäßig verweigert, wie aus der von The eingesehenen Klageunterlage hervorgeht
CryptoFrontier18M her
Bitcoin Core deckt einen Fehler auf, der es Minern ermöglichen könnte, Knoten zum Absturz zu bringen
Bitcoin Core-Entwickler haben einen schwerwiegenden Bug offengelegt, der es Minern ermöglichen könnte, einige Bitcoin-Knoten remote zum Absturz zu bringen.
Zusammenfassung
Bitcoin Core hat CVE-2024-52911 offengelegt, das Versionen vor 29.0 betrifft, wobei ältere Knoten weiterhin online angreifbar sind.
Miner benötigten kostspielige Proof-of-Work-Blöcke, um den Bug auszulösen
Cryptonews1Std her
In Nordkoreas Terrorangriff: Inhaber ringen um ein Upgrade – eingefrorene Aave-Vermögenswerte im Wert von 71 Millionen US-Dollar, berufen auf ein Antiterror-Versicherungsgesetz
Die Lage beim Aufwärmen des nordkoreanischen Terroranschlags eskaliert: 71 Millionen US-Dollar an bei Aave eingefrorenen Vermögenswerten gehen in die dritte Runde. Die Kläger ändern ihre Argumentation hin zu der Behauptung, ETH sei ein staatliches Vermögen Nordkoreas im Rahmen des TRIA-Gesetzes, und betonen, dass es sich um Betrug statt um Diebstahl handelt, um die Einwendung „Täter besitzt keine Beute“ zu umgehen. Gleichzeitig stellen sie Aaves Standing und die Rolle in der Governance in Frage. DeFi United hat über 328 Millionen US-Dollar eingesammelt, genug, um die betroffenen Nutzer zu entschädigen. Der Rechtsstreit könnte ein richtungsweisendes Präzedenzfall für DeFi-Rechtsfragen und DAO-Governance werden.
ChainNewsAbmedia3Std her
Krypto-"Riesenwal" verklagt Coinbase: Vorwurf, dass gestohlenes DAI eingefroren und dann die Rückgabe verweigert wurde
Laut The Block vom 6. Mai verklagte der anonyme Krypto-Großhai, der unter dem Pseudonym „DB“ angeklagt wurde, am Montag Coinbase sowie den mutmaßlichen Dieb „John Doe“. Er macht geltend, dass Coinbase die Rückerstattung eingefrorener DAI-Gelder im Zusammenhang mit einem Kryptodiebstahl aus dem Jahr 2024 weiterhin verweigere, obwohl Coinbase mit eidesstattlichen Erklärungen seine Rechtmäßigkeit als Eigentümer nachgewiesen habe.
MarketWhisper5Std her
Nordkoreaerische Terroropfer reichen einen Antrag ein, $71M aus dem Aave-Hack zu beschlagnahmen, und stellen die Sache als Betrug neu dar
Anwälte der Opfer von drei Fällen nordkoreanischen Terrorismus haben am Dienstag eine 30-seitige Erwiderung eingereicht und den Aave-Hack vom 18. April als Betrug statt als Diebstahl neu eingeordnet. Die Unterscheidung ist rechtlich bedeutsam: Wenn der Vorfall als Betrug charakterisiert wird, könnten die Angreifer einen rechtlichen Anspruch auf die geliehenen…
GateNews5Std her
