Tin nhắn Gate News, ngày 19 tháng 4 — Vào ngày 18 lúc 17:35 UTC, một kẻ tấn công đã khai thác lỗ hổng trong cầu nối cross-chain của Kelp DAO được trang bị LayerZero, phát hành 116.500 rsETH (khoảng $293 triệu và xấp xỉ 18% tổng nguồn cung đang lưu hành của token) tới một ví do kẻ tấn công kiểm soát mà không có ETH tương ứng được khóa. Sau đó, kẻ tấn công nạp rsETH không được hỗ trợ vào Aave V3 và V4 làm tài sản thế chấp, vay ether được bọc thực (WETH) dựa trên đó. Đến khi multisig khẩn cấp của Kelp đóng băng giao thức 46 phút sau đó, WETH đã bị rút ra.
Lỗ hổng cầu nối cho phép kẻ tấn công gửi một tin nhắn đã được tạo sẵn vượt qua các kiểm tra xác thực dù không có khoản nạp thực sự nào trên chuỗi nguồn. Hai lần thử tiếp theo vào 18:26 và 18:28 UTC để rút thêm mỗi lần 40.000 rsETH đã bị hoàn tác sau khi lệnh tạm dừng được kích hoạt.
Hiện tại, Aave đang gánh từ $177 triệu đến $236 triệu nợ xấu, tập trung ở cặp rsETH/WETH trên Ethereum. Tổng giá trị bị khóa của nền tảng (TVL) giảm khoảng $6 tỷ, mức sử dụng thị trường WETH đạt 100% (ngăn ngừa các lần rút tiếp theo), và token AAVE giảm hơn 18%. Quỹ bảo hiểm Umbrella của Aave nắm giữ khoảng $50 triệu, để lại một khoảng trống đáng kể. Các vị thế vay về cơ bản không thể thanh lý vì tài sản thế chấp rsETH không thể được hoàn trả và sẽ không giao dịch gần mức ngang giá khi nguồn cung không được hỗ trợ được công nhận đầy đủ.
SparkLend, Fluid và Upshift đã tạm dừng hoặc đóng băng rsETH trong vòng vài giờ; kiến trúc thị trường tách biệt của Morpho giới hạn mức phơi nhiễm ở khoảng $1 triệu trên hai thị trường. rsETH trên hơn 20 chuỗi hiện đang đối mặt với bất định về khả năng hỗ trợ cho đến khi Kelp công bố việc đối chiếu dự trữ so với nguồn cung còn tồn tại. Vụ khai thác này đánh dấu sự cố DeFi lớn nhất của năm 2026, với tổng tổn thất DeFi trong năm đạt từ $450 triệu đến $482 triệu trên khoảng 45 giao thức.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
NYSE Tokenization Partners cảnh báo rủi ro của token cổ phiếu tổng hợp
Các đối tác token hóa của NYSE đã đưa ra cảnh báo rằng các token cổ phiếu tổng hợp có thể đánh lừa các nhà giao dịch bán lẻ thông qua việc bịa đặt về các cổ phiếu cơ sở và sử dụng trái phép tên của công ty, theo nội dung cảnh báo.
Các mối lo ngại về token tổng hợp ở nước ngoài
Các đối tác đã xác định ba điểm chính ri
CryptoFrontier3giờ trước
Project Eleven cảnh báo Q-Day có thể diễn ra sớm nhất vào năm 2030, với 6,9 triệu Bitcoin có nguy cơ bị ảnh hưởng
Theo báo cáo hôm thứ Tư của Project Eleven, máy tính lượng tử có thể bẻ gãy mã hóa hiện đại sớm nhất vào năm 2030, khi công ty khởi nghiệp ước tính rằng 6,9 triệu bitcoin, trị giá hơn 560 tỷ USD, có thể bị phơi nhiễm rủi ro lượng tử trong một số điều kiện nhất định.
Startup tập trung vào bảo mật hậu lượng tử
GateNews5giờ trước
Ekubo Protocol bị rút cạn 1,4 triệu USD WBTC thông qua lỗ hổng khai thác dựa trên cấp quyền
Theo công ty bảo mật blockchain Blockaid, Ekubo Protocol gần đây đã mất khoảng 1,4 triệu USD dưới dạng wrapped bitcoin (WBTC) sau khi kẻ tấn công khai thác một lỗ hổng kiểm soát truy cập trong các hợp đồng EVM swap router của dự án. Kẻ tấn công đã vượt qua các cơ chế xác minh thanh toán để rút tiền từ các ví.
GateNews9giờ trước
Hồ sơ nạn nhân khủng bố Triều Tiên $71M đệ đơn kiện các hacker của vụ tấn công Aave, diễn giải lại vụ tấn công thành hành vi lừa đảo
Các luật sư đại diện cho các nạn nhân của 3 vụ khủng bố do Triều Tiên thực hiện đã nộp một bản trả lời dài 30 trang vào hôm thứ Ba, trong đó họ định hình lại vụ hack Aave ngày 18/4 như một hành vi lừa đảo chứ không phải trộm cắp — một sự phân biệt pháp lý có thể trao cho kẻ tấn công “quyền sở hữu hợp pháp” đối với lượng crypto được mượn. Các nạn nhân đang tìm cách thu hồi khoảng 71 triệu USD
GateNews12giờ trước
Crypto Whale kiện Coinbase vì số tiền bị đánh cắp $55M DAI bị đóng băng
Một cá voi crypto ẩn danh được xác định là "D.B." đã nộp đơn kiện vào hôm thứ Hai chống lại Coinbase và một kẻ trộm bị cáo buộc, do sàn từ chối hoàn trả các khoản tiền bị đóng băng liên quan đến vụ trộm crypto diễn ra vào tháng 8 năm 2024, theo hồ sơ tòa án. Nguyên đơn bị mất khoảng 55 triệu USD trị giá DAI trong sự cố
CryptoFrontier13giờ trước
Bitcoin Core tiết lộ lỗi có thể khiến thợ đào làm sập các node
Các nhà phát triển Bitcoin Core đã tiết lộ một lỗ hổng mức độ nghiêm trọng cao, có thể cho phép thợ đào làm sập từ xa một số node Bitcoin.
Tóm tắt
Bitcoin Core đã công bố CVE-2024-52911, ảnh hưởng đến các phiên bản trước 29.0, trong khi các node cũ vẫn đang bị phơi lộ trực tuyến.
Các thợ đào cần các khối bằng chứng công việc (proof-of-work) tốn kém để kích hoạt
Cryptonews15giờ trước
