Сообщение Gate News, 19 апреля — 18 апреля в 17:35 UTC атакующий воспользовался уязвимостью в кросс-чейн мосту Kelp DAO с поддержкой LayerZero, выпустив 116,500 rsETH (приблизительно $293 миллиона и примерно 18% от обращающегося предложения токена) в кошелек, контролируемый атакующим, без соответствующей блокировки ETH. Затем атакующий внес unbacked rsETH в Aave V3 и V4 в качестве обеспечения, заимствуя реальный обернутый эфир (WETH). К тому времени, когда экстренный мультисиг Kelp заморозил протокол 46 минут спустя, WETH уже был выведен.
Уязвимость моста позволила атакующему отправить подготовленное сообщение, которое прошло проверки верификации, несмотря на отсутствие фактического депозита в исходной цепочке. Две последующие попытки в 18:26 и 18:28 UTC вывести дополнительно по 40,000 rsETH каждая были отменены после активации паузы.
Сейчас Aave несет от $177 миллиона до $236 миллиона долга без обеспечения, сосредоточенного в паре rsETH/WETH в Ethereum. Общая стоимость активов в управлении платформы (TVL) упала примерно на $6 миллиарда, загрузка рынка WETH достигла 100% (что предотвратило дальнейшие выводы), а токен AAVE снизился более чем на 18%. Фонд страхования Umbrella у Aave хранит около $50 миллиона, оставляя значительный разрыв. Позиции по заимствованиям фактически нельзя ликвидировать, поскольку обеспечение rsETH невозможно выкупить, и оно не будет торговаться около пег-уровня после того, как unbacked предложение будет полностью признано.
SparkLend, Fluid и Upshift приостановили или заморозили rsETH в течение нескольких часов; изолированная архитектура рынков Morpho ограничила подверженность примерно $1 миллионами на двух рынках. rsETH на 20+ цепочках теперь сталкивается с неопределенностью по обеспечению, пока Kelp не опубликует сверку резервов с объемом непогашенного предложения. Этот эксплойт является крупнейшим инцидентом DeFi за 2026 год: кумулятивные потери DeFi за год достигли от $450 миллиона до $482 миллиона на примерно 45 протоколах.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Уязвимость в коде для удалённого выполнения у майнеров в Bitcoin Core: 43% узлов не обновились
Согласно сообщению Protos от 5 мая, разработчики Bitcoin Core на официальном сайте раскрыли критически опасную уязвимость CVE-2024-52911. Уязвимость позволяет майнерам с помощью добычи специально сформированных блоков вызывать удалённые сбои у узлов других пользователей и при определённых условиях выполнять код. Поскольку обновление всех узлов биткоина до новой версии является добровольным, по оценкам, по-прежнему около 43% узлов работают на уязвимом старом ПО.
MarketWhisper2ч назад
Уязвимость в Bitcoin Core (CVE-2024-52911) позволяет удалённое выполнение кода; 43% узлов всё ещё не исправлены
По данным Protos, разработчики Bitcoin Core недавно раскрыли критическую уязвимость (CVE-2024-52911), которая затрагивает версии 0.14.1–28.4 и позволяет майнерам удалённо ронять узлы и выполнять произвольный код, добывая специально подготовленные блоки. Впервые выявлено в ноябре 2024 разработчиком Cory
GateNews2ч назад
Ekubo: EVM Swap-роутерный смарт-контракт столкнулся с инцидентом безопасности, Starknet не пострадал
Согласно официальному объявлению от AMM-инфраструктуры Ekubo, опубликованному 6 мая на платформе X, в контрактах маршрутизации Swap на EVM-цепочке произошёл инцидент безопасности. Ekubo подтверждает, что поставщики ликвидности (LP) и Starknet не пострадали от этого инцидента; команда расследует масштаб произошедшего и готовит отчёт по итогам.
MarketWhisper2ч назад
Kelp DAO стало первым проектом, отказавшимся от основного протокола LayerZero и перешедшим на Chainlink CCIP
По сообщению The Block от 5 мая, децентрализованный протокол кредитования в DeFi Kelp DAO объявил о прекращении использования LayerZero в качестве провайдера кроссчейн-инфраструктуры и переходе на кроссчейн-взаимодействие (CCIP) от Chainlink; Kelp DAO — «первый крупный протокол, отказавшийся от LayerZero после случая с уязвимостью в LayerZero».
MarketWhisper2ч назад
Drift объявила план восстановления инцидента с 295 млн взломов и будет компенсировать потери по атакованным кошелькам
Согласно официальному объявлению Drift Protocol, опубликованному 6 мая в X, Drift Protocol официально запустил план восстановления для пользователей после хакерского инцидента от 1 апреля: каждый пострадавший кошелёк получит «токен восстановления» (Recovery Token), каждая единица соответствует 1 доллару верифицированных потерь — в качестве пропорционального подтверждения права требования из восстановительного пула.
MarketWhisper3ч назад
