Сообщение Gate News, 19 апреля — 18 апреля в 17:35 UTC атакующий воспользовался уязвимостью в кросс-чейн мосту Kelp DAO с поддержкой LayerZero, выпустив 116,500 rsETH (приблизительно $293 миллиона и примерно 18% от обращающегося предложения токена) в кошелек, контролируемый атакующим, без соответствующей блокировки ETH. Затем атакующий внес unbacked rsETH в Aave V3 и V4 в качестве обеспечения, заимствуя реальный обернутый эфир (WETH). К тому времени, когда экстренный мультисиг Kelp заморозил протокол 46 минут спустя, WETH уже был выведен.
Уязвимость моста позволила атакующему отправить подготовленное сообщение, которое прошло проверки верификации, несмотря на отсутствие фактического депозита в исходной цепочке. Две последующие попытки в 18:26 и 18:28 UTC вывести дополнительно по 40,000 rsETH каждая были отменены после активации паузы.
Сейчас Aave несет от $177 миллиона до $236 миллиона долга без обеспечения, сосредоточенного в паре rsETH/WETH в Ethereum. Общая стоимость активов в управлении платформы (TVL) упала примерно на $6 миллиарда, загрузка рынка WETH достигла 100% (что предотвратило дальнейшие выводы), а токен AAVE снизился более чем на 18%. Фонд страхования Umbrella у Aave хранит около $50 миллиона, оставляя значительный разрыв. Позиции по заимствованиям фактически нельзя ликвидировать, поскольку обеспечение rsETH невозможно выкупить, и оно не будет торговаться около пег-уровня после того, как unbacked предложение будет полностью признано.
SparkLend, Fluid и Upshift приостановили или заморозили rsETH в течение нескольких часов; изолированная архитектура рынков Morpho ограничила подверженность примерно $1 миллионами на двух рынках. rsETH на 20+ цепочках теперь сталкивается с неопределенностью по обеспечению, пока Kelp не опубликует сверку резервов с объемом непогашенного предложения. Этот эксплойт является крупнейшим инцидентом DeFi за 2026 год: кумулятивные потери DeFi за год достигли от $450 миллиона до $482 миллиона на примерно 45 протоколах.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Война за контроль над приговором по атаке со стороны КНДР: $71 млн замороженных активов Aave — ссылаются на закон о противодействии терроризму
Рост эскалации вокруг атаки Северной Кореи: замороженные активы на 71,00 млн долларов в Aave переходят в третий раунд. Истцы изменили стратегию и через закон TRIA утверждают, что ETH относится к государственным активам Северной Кореи, подчеркивая мошенничество, а не кражу, чтобы обойти довод о том, что «вор не владеет похищенным имуществом». Одновременно они оспаривают standing и руководящую роль Aave. DeFi United привлекла более 328 млн долларов, средств достаточно для компенсации затронутым пользователям. Дело может стать ключевым прецедентом для правовой практики DeFi и DAO-управления.
ChainNewsAbmedia1ч назад
Крипто-кит подал в суд на Coinbase, обвинив биржу в отказе вернуть украденные DAI после того, как средства были заморожены
Согласно сообщению The Block от 6 мая, анонимный криптовалютный «кит», подававший иск под псевдонимом «DB», в понедельник подал иск против Coinbase и предполагаемого вора «John Doe». В иске он утверждает, что Coinbase после того, как предоставила аффидевит, подтверждающий, что она является законным владельцем, все равно отказалась вернуть замороженные средства DAI, связанные с криптовалютной кражей в 2024 году.
MarketWhisper3ч назад
Жертвы терактов в Северной Корее подали ходатайство о наложении ареста на $71M , украденное во взломе Aave, переквалифицируют дело как мошенничество
Адвокаты пострадавших по трём делам о терактах, совершённых Северной Кореей, во вторник подали 30-страничный ответ, переосмыслив взлом Aave от 18 апреля как мошенничество, а не кражу. Различие имеет правовое значение: квалификация инцидента как мошенничества может дать нападавшим законное право на заимствованное
GateNews3ч назад
Kelp DAO отказывается от LayerZero в пользу Chainlink CCIP после взлома моста на $292 миллионов
По данным The Block, Kelp DAO отказалась от LayerZero в пользу протокола межсетевой совместимости Chainlink (CCIP) после хакерского взлома моста на $292 миллиона в прошлом месяце. Представитель Chainlink подтвердил, что Kelp DAO — первый крупный протокол, который перенёс миграцию с LayerZero после атаки. На
GateNews3ч назад
Сооснователь LayerZero опровергает обвинения в адрес KelpDAO, ссылаясь на ручное изменение конфигурации 1 апреля 2024 года
По словам Брайана Пеллегрино, сооснователя и CEO LayerZero Labs, большинство обвинений в адрес KelpDAO не имеют под собой оснований. 6 мая Пеллегрино заявил, что Kelp сначала использовала конфигурацию по умолчанию MultiDVN или DeadDVN, но вручную изменила её на конфигурацию 1/1 1 апреля 2024 года, согласно данным on-chain
GateNews4ч назад
