Mensagem do Gate News, 19 de abril — Em 18 de abril às 17:35 UTC, um atacante explorou uma vulnerabilidade na ponte cross-chain do Kelp DAO com tecnologia LayerZero, liberando 116.500 rsETH (aproximadamente $293 milhões e cerca de 18% do fornecimento em circulação do token) para uma carteira controlada pelo atacante, sem que ETH correspondente fosse bloqueada. Em seguida, o atacante depositou o rsETH não lastreado na Aave V3 e V4 como garantia, tomando emprestado ether wrapped real (WETH) contra ele. Quando o multisig de emergência do Kelp congelou o protocolo 46 minutos depois, o WETH já havia sido sacado.
A vulnerabilidade da ponte permitiu que o atacante enviasse uma mensagem construída que passou nas verificações de validação, apesar de não haver nenhum depósito real na cadeia de origem. As duas tentativas de acompanhamento em 18:26 e 18:28 UTC para drenar mais 40.000 rsETH cada uma foram revertidas após a pausa ser ativada.
Agora, a Aave tem entre $177 milhões e $236 milhões em dívida ruim, concentrada no par rsETH/WETH na Ethereum. O valor total bloqueado da plataforma (TVL) caiu aproximadamente $6 bilhão, a utilização do mercado de WETH atingiu 100% (impedindo saques adicionais), e o token AAVE caiu mais de 18%. O fundo de seguro do guarda-chuva da Aave mantém cerca de $50 milhões, deixando uma lacuna significativa. As posições de empréstimo são efetivamente não liquidáveis, pois a garantia em rsETH não pode ser resgatada e não será negociada perto do par quando o fornecimento sem lastro for totalmente reconhecido.
A SparkLend, Fluid e Upshift pausaram ou congelaram rsETH em questão de horas; a arquitetura de mercado isolada da Morpho limitou a exposição a aproximadamente $1 milhões em dois mercados. O rsETH em mais de 20 cadeias agora enfrenta incerteza quanto ao lastro até que a Kelp publique uma reconciliação das reservas contra o fornecimento em aberto. Este exploit marca o maior incidente DeFi de 2026, com perdas acumuladas de DeFi no ano atingindo entre $450 milhões e $482 milhões em cerca de 45 protocolos.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
A “cripto baleia” processa a Coinbase, acusando que, após congelar um DAI roubado, a empresa recusou devolvê-lo
De acordo com a The Block em 6 de maio, um magnata anônimo de criptomoedas, conhecido apenas pelo pseudônimo “DB”, processou na segunda-feira a Coinbase e o suposto ladrão “John Doe”, alegando que a Coinbase, mesmo depois de apresentar documentos juramentados para comprovar que é a legítima proprietária, continua se recusando a devolver os fundos de DAI congelados relacionados ao caso de roubo de criptomoedas em 2024.
MarketWhisper48m atrás
Vítimas de terrorismo da Coreia do Norte entram com moção para confiscar $71M do hack na Aave, buscando reclassificar como fraude
Advogados das vítimas de três casos de terrorismo da Coreia do Norte protocolaram, na terça-feira, uma resposta de 30 páginas, reenquadrando o hack do Aave de 18 de abril como fraude em vez de roubo. A distinção tem relevância jurídica: caracterizar o incidente como fraude poderia conceder aos atacantes o direito legal sobre o valor emprestado
GateNews1h atrás
Kelp DAO abandona o LayerZero pela Chainlink CCIP após exploit de ponte de US$ 292 milhões
De acordo com a The Block, a Kelp DAO abandonou a LayerZero pelo Protocolo de Interoperabilidade entre Cadeias (CCIP) da Chainlink após o exploit de ponte de US$ 292 milhões ocorrido no mês passado. Um representante da Chainlink confirmou que a Kelp DAO é o primeiro grande protocolo a migrar para longe da LayerZero desde o ataque. Em
GateNews1h atrás
O cofundador da LayerZero refuta alegações do KelpDAO, citando uma mudança manual de configuração em 1º de abril de 2024
De acordo com Bryan Pellegrino, cofundador e CEO da LayerZero Labs, a maioria das alegações contra a KelpDAO não se sustenta. Em 6 de maio, Pellegrino afirmou que a Kelp inicialmente usou a configuração padrão de MultiDVN ou DeadDVN, mas a alterou manualmente para uma configuração 1/1 em 1º de abril de 2024, conforme on-chain
GateNews1h atrás
Vulnerabilidade no código de execução remota de mineiros do Bitcoin Core, 43% dos nós não foram atualizados
De acordo com o Protos em 5 de maio, desenvolvedores do Bitcoin Core divulgaram no site oficial uma vulnerabilidade crítica de alto risco, a CVE-2024-52911. Essa falha permite que mineradores, ao minerar blocos especialmente preparados, façam com que nós de outros usuários falhem remotamente e executem código sob condições específicas. Como a atualização de todos os nós do Bitcoin é um comportamento voluntário, estima-se que ainda cerca de 43% dos nós estejam executando uma versão antiga do software que contém a vulnerabilidade.
MarketWhisper3h atrás
