Повідомлення Gate News, 19 квітня — 18 квітня о 17:35 UTC атакувальник використав вразливість у кросчейн-мості Kelp DAO, що працює на базі LayerZero, вивільнивши 116 500 rsETH (приблизно $293 мільйонів і близько 18% від обігового обсягу токена) на гаманець, контрольований атакувальником, без відповідного блокування ETH. Далі атакувальник вніс незабезпечений rsETH у Aave V3 і V4 як заставу, позичивши справжній обгорнутий ефір (WETH) проти нього. На той час, коли екстрений мультисиг Kelp заморозив протокол 46 хвилин потому, WETH уже було виведено.
Вразливість моста дала змогу атакувальнику надіслати спеціально сформоване повідомлення, яке проходило перевірки на відповідність вимогам, попри відсутність фактичного депозиту на вихідному ланцюгу. Дві наступні спроби о 18:26 та 18:28 UTC, щоб вивести додатково по 40 000 rsETH, були відхилені після активації паузи.
Зараз Aave має від $177 мільйонів до $236 мільйонів у боргу за безнадійними вимогами, зосередженому в парі rsETH/WETH в Ethereum. Сукупна вартість, заблокована на платформі (TVL), знизилася приблизно на $6 мільярда, використання ринку WETH досягло 100% (не дозволяючи подальші виведення), а токен AAVE впав більш ніж на 18%. Страховий фонд Umbrella від Aave тримає близько $50 мільйонів, залишаючи значну прогалину. Боргові позиції фактично неможливо ліквідувати, оскільки застава rsETH не може бути викуплена і не торгуватиметься поблизу паритету після того, як незабезпечена пропозиція буде повністю визнана.
SparkLend, Fluid і Upshift призупинили або заморозили rsETH протягом кількох годин; ізольована ринкова архітектура Morpho обмежила ризик приблизно $1 мільйонами в межах двох ринків. rsETH на більш ніж 20 ланцюгах тепер стикається з невизначеністю щодо забезпечення, доки Kelp не опублікує звірку резервів із наявною пропозицією. Цей експлойт є найбільшим інцидентом у DeFi 2026 року: кумулятивні збитки DeFi за рік становлять від $450 мільйонів до $482 мільйонів приблизно на 45 протоколах.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Північнокорейська терористична атака: власники оскаржують підвищення ставки за заморожені активи Aave на 71,0 млн доларів, посилаючись на закон про протидію фінансуванню тероризму
Атака в Північній Кореї посилюється: 71,0 мільйона доларів США у заморожених активах Aave переходять до третього раунду. Позивачі змінили аргументацію, посилаючись на закон TRIA, щоб стверджувати, що ETH є державною власністю Північної Кореї, підкреслюючи не крадіжку, а шахрайство, щоб обійти заперечення «викрадач не володіє речовим доказом». Також оскаржується standing і роль Aave в управлінні. DeFi United зібрав понад 328 мільйонів доларів США: коштів достатньо для компенсації постраждалим користувачам. Справа може стати ключовим прецедентом для розуміння правозастосування у DeFi та DAO-управлінні.
ChainNewsAbmedia1год тому
Крипто-«гігантський кит» подає позов проти Coinbase, звинувачуючи біржу в тому, що після заморозки вкраденого DAI вона відмовилась повернути кошти
Згідно з The Block, 6 травня анонімний криптовалютний кит, який фігурує під псевдонімом «DB», у понеділок подав позов проти Coinbase та вказаного викрадача «John Doe», звинувачуючи Coinbase в тому, що після того, як компанія надала присяжні документи, які підтверджують її законне право власності, вона все одно відмовляється повернути заморожені кошти DAI, пов’язані з криптовалютною крадіжкою у 2024 році.
MarketWhisper3год тому
Жертви терактів у Північній Кореї подали клопотання про арешт $71M із злому Aave, перекваліфікувавши справу як шахрайство
Адвокати жертв трьох терористичних справ Північної Кореї у вівторок подали 30-сторінкову відповідь, переосмисливши хак від 18 квітня в Aave як шахрайство, а не крадіжку. Ця різниця має юридичне значення: якщо інцидент кваліфікують як шахрайство, нападники можуть отримати юридичний титул на позичене
GateNews3год тому
Kelp DAO відмовляється від LayerZero на користь Chainlink CCIP після експлойту мосту на $292 мільйони
За даними The Block, Kelp DAO відмовився від LayerZero на користь протоколу Chainlink Cross-Chain Interoperability Protocol (CCIP) після $292 мільйонного бридж-використання минулого місяця. Представник Chainlink підтвердив, що Kelp DAO є першим великим протоколом, який перейшов від LayerZero після атаки. On
GateNews3год тому
Засновник LayerZero спростовує звинувачення KelpDAO та посилається на ручну зміну конфігурації від 1 квітня 2024 року
За словами Браяна Пеллегрінo, співзасновника й CEO LayerZero Labs, більшість звинувачень проти KelpDAO є безпідставними. 6 травня Пеллегрінo заявив, що Kelp спочатку використовував конфігурацію за замовчуванням MultiDVN або DeadDVN, але вручну змінив її на конфігурацію 1/1 1 квітня 2024 року, згідно з даними on-chain
GateNews4год тому
