Mensagem da Gate News, 19 de abril — Em 18 de abril às 17:35 UTC, um atacante explorou uma vulnerabilidade na ponte cross-chain alimentada por LayerZero do Kelp DAO, libertando 116.500 rsETH (aproximadamente $293 milhões e cerca de 18% da oferta em circulação do token) para uma carteira controlada pelo atacante sem que ETH correspondente fosse bloqueado. O atacante depositou depois os rsETH não lastreados na Aave V3 e V4 como colateral, contra os quais contraiu ether embrulhado real (WETH). Quando o multisig de emergência do Kelp congelou o protocolo 46 minutos mais tarde, o WETH já tinha sido retirado.
A vulnerabilidade da ponte permitiu ao atacante submeter uma mensagem preparada que passou nas verificações de validação apesar de não ter havido qualquer depósito real na cadeia de origem. As duas tentativas de seguimento às 18:26 e 18:28 UTC para drenar mais 40.000 rsETH cada uma foram revertidas depois de o modo de pausa ter sido ativado.
A Aave agora transporta entre $177 milhões e $236 milhões em dívida incobrável, concentrada no par rsETH/WETH na Ethereum. O valor total bloqueado da plataforma (TVL) caiu aproximadamente $6 milhões, a utilização do mercado de WETH atingiu 100% (impedindo novas retiradas), e o token AAVE desvalorizou mais de 18%. O fundo de seguro da Aave para a Umbrella detém cerca de $50 milhões, deixando uma lacuna significativa. As posições de empréstimo são efetivamente não liquidáveis, uma vez que o colateral em rsETH não pode ser resgatado e não será negociado perto do par depois de a oferta não lastreada ser totalmente reconhecida.
A SparkLend, a Fluid e a Upshift suspenderam ou congelaram rsETH no espaço de horas; a arquitetura de mercado isolada da Morpho limitou a exposição a aproximadamente $1 milhões em dois mercados. Os rsETH em mais de 20 cadeias agora enfrentam incerteza de lastro até que a Kelp publique uma reconciliação de reservas face à oferta em aberto. Esta exploração marca o maior incidente DeFi de 2026, com perdas acumuladas de DeFi no ano a atingirem entre $450 milhões e $482 milhões em cerca de 45 protocolos.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
A vulnerabilidade do Bitcoin Core CVE-2024-52911 permite execução remota de código; 43% dos nós ainda não foram corrigidos
De acordo com a Protos, os programadores do Bitcoin Core divulgaram recentemente uma vulnerabilidade crítica (CVE-2024-52911) que afeta as versões 0.14.1 a 28.4, permitindo que os mineradores façam crashar remotamente nós e executem código arbitrário ao minerarem blocos especialmente preparados. Descoberta em novembro de 2024 pelo programador Cory
GateNews10m atrás
Ekubo: o contrato de routing do EVM Swap sofreu um incidente de segurança, a Starknet não foi afetada
De acordo com o anúncio oficial publicado a 6 de maio pela AMM de infraestruturas Ekubo na plataforma X, o contrato de routing de swaps da Ekubo na cadeia EVM sofreu um incidente de segurança. A Ekubo confirmou que os fornecedores de liquidez (LP) e a Starknet não foram afetados pelo incidente; a equipa está a investigar o âmbito do acontecimento e a preparar um relatório de análise pós-evento.
MarketWhisper22m atrás
Kelp DAO torna-se na primeira entidade a descontinuar o principal protocolo LayerZero, passando a adotar o Chainlink CCIP
De acordo com o The Block, a 5 de maio, o protocolo de empréstimos DeFi Kelp DAO anunciou que vai deixar de usar a LayerZero como fornecedor de infraestrutura de interoperabilidade cross-chain e passará a adotar o protocolo de interoperabilidade cross-chain (CCIP) da Chainlink; o Kelp DAO é o «primeiro grande protocolo a abandonar a LayerZero desde o incidente de vulnerabilidade da LayerZero».
MarketWhisper29m atrás
Drift anuncia plano de recuperação de 295 milhões de incidentes de pirataria, com compensação dos fundos perdidos para carteiras atacadas
De acordo com o anúncio oficial publicado a 6 de maio no X pelo Drift Protocol, o Drift Protocol lançou formalmente um plano de recuperação para os utilizadores afetados pelo incidente de pirataria de 1 de abril: cada carteira afetada receberá um «token de recuperação» (Recovery Token), com cada token a corresponder a 1 dólar do prejuízo verificado, como comprovativo de pedido proporcional ao fundo de recuperação.
MarketWhisper1h atrás
Kelp acusa a LayerZero pelo exploit de 292 milhões de dólares e planeia mudar para a Chainlink
De acordo com o anúncio da Kelp DAO na terça-feira, o protocolo responsabilizou a LayerZero por ter aprovado uma configuração arriscada que permitiu um exploit no valor de 292 milhões de dólares a 18 de abril. A Kelp disse que o pessoal da LayerZero aprovou uma configuração de verificação 1-de-1 — dependendo de uma única entidade para validar transações entre cadeias — sem w
GateNews4h atrás
