Повідомлення Gate News, 19 квітня — 18 квітня о 17:35 UTC атакувальник використав вразливість у кросчейн-мості Kelp DAO, що працює на базі LayerZero, вивільнивши 116 500 rsETH (приблизно $293 мільйонів і близько 18% від обігового обсягу токена) на гаманець, контрольований атакувальником, без відповідного блокування ETH. Далі атакувальник вніс незабезпечений rsETH у Aave V3 і V4 як заставу, позичивши справжній обгорнутий ефір (WETH) проти нього. На той час, коли екстрений мультисиг Kelp заморозив протокол 46 хвилин потому, WETH уже було виведено.

Вразливість моста дала змогу атакувальнику надіслати спеціально сформоване повідомлення, яке проходило перевірки на відповідність вимогам, попри відсутність фактичного депозиту на вихідному ланцюгу. Дві наступні спроби о 18:26 та 18:28 UTC, щоб вивести додатково по 40 000 rsETH, були відхилені після активації паузи.

Зараз Aave має від $177 мільйонів до $236 мільйонів у боргу за безнадійними вимогами, зосередженому в парі rsETH/WETH в Ethereum. Сукупна вартість, заблокована на платформі (TVL), знизилася приблизно на $6 мільярда, використання ринку WETH досягло 100% (не дозволяючи подальші виведення), а токен AAVE впав більш ніж на 18%. Страховий фонд Umbrella від Aave тримає близько $50 мільйонів, залишаючи значну прогалину. Боргові позиції фактично неможливо ліквідувати, оскільки застава rsETH не може бути викуплена і не торгуватиметься поблизу паритету після того, як незабезпечена пропозиція буде повністю визнана.

SparkLend, Fluid і Upshift призупинили або заморозили rsETH протягом кількох годин; ізольована ринкова архітектура Morpho обмежила ризик приблизно $1 мільйонами в межах двох ринків. rsETH на більш ніж 20 ланцюгах тепер стикається з невизначеністю щодо забезпечення, доки Kelp не опублікує звірку резервів із наявною пропозицією. Цей експлойт є найбільшим інцидентом у DeFi 2026 року: кумулятивні збитки DeFi за рік становлять від $450 мільйонів до $482 мільйонів приблизно на 45 протоколах.

Переглянути джерело

Застереження: інформація на цій сторінці може походити зі сторонніх джерел і надається виключно для ознайомлення. Вона не відображає позицію чи думку Gate і не є фінансовою, інвестиційною чи юридичною консультацією. Торгівля віртуальними активами пов’язана з високим ризиком. Будь ласка, не покладайтеся лише на інформацію з цієї сторінки під час прийняття рішень. Детальніше дивіться у Застереженні.

Пов’язані новини

04-20 07:05

Прихований гаманець, пов’язаний із CEXt, вивів $14,5 млн у ETH після річної бездіяльності

04-20 01:28

AAVE (Aave) за 24 години впав на 6.53%

04-19 11:42

Експлойтер KelpDAO позичає $195M ETH з Aave, TVL падає на $6.28B через відтік коштів китів

04-19 10:31

Переведення адресою 978 000 ZRO на великий CEX, поки токен LayerZero падає на 18%

04-19 00:16

Кросчейн-мост Kelp DAO використали в експлойті: викрадено 116 500 rsETH на суму $292M Stolen

Прокоментувати