#KelpDAO跨链桥遭攻击

Майже збанкрутувала AAVE! — повний аналіз атаки на rsETH

У вихідні в криптосвіті тихо поширилася новина: протокол Kelp DAO зазнав хакерської атаки, викрадено 290 мільйонів доларів, що торкнулося AAVE. Після цього Сон Го Justin Sun у першу чергу зняв понад 100 мільйонів доларів активів з AAVE, що спричинило ланцюгову реакцію. Станом на сьогодні вранці через інцидент з rsETH з AAVE виведено вже 10,1 мільярда доларів. Внаслідок цього ціна AAVE різко впала майже на 30 доларів. Це найбільша атака в історії DeFi до 2026 року, більша за інцидент з Drift. Наскільки широко це вплине на криптосферу? Чи стане це “LUNA-інцидентом” у цьому бичачому ринку? Давайте обговоримо.

Протокол Kelp DAO випустив токен під назвою rsETH, який має на меті забезпечити ліквідність для невільних активів, що зберігаються на платформах повторного заставлення (як EigenLayer), а також зробити зручним створення єдиного ліквідного токена для LST — так званого “LRT-акту ре-заставлення”.

Цей токен працює через міжланцюговий міст LayerZero, що дозволяє йому переміщатися між різними блокчейнами.

Вчора хакер виявив у LayerZero вразливість — коротко кажучи:

Він підробив повідомлення “з A-ланцюга”, яке повідомляло мосту Kelp: “Гей, хтось зберіг ETH на певному ланцюгу, швидко створи для нього 116 500 rsETH.”

Контракт Kelp повірив цій фальшивці.

Внаслідок цього з’явилося 116 500 rsETH, що становить 18% від обігу, вартістю 292 мільйони доларів.

Після отримання цих rsETH хакер зробив дві речі:

1. Заставив їх у Aave, Compound, Euler як заставу, позичив ETH

2. Частково продав їх

В результаті він отримав 74 000 ETH, приблизно на 2,8 мільярда доларів.

Через цей заставний rsETH AAVE зазнав збитків на 236 мільйонів доларів.

Що це означає?

Хакер підробив заставу з фальшивих монет і позичив справжній ETH. Тепер фальшиві монети нічого не варті, а застави в AAVE — повітря. Ці 236 мільйонів доларів AAVE самостійно винесла.

Ціна токена AAVE одразу впала на 10%.

Після інциденту Kelp тимчасово призупинив контракт на 46 хвилин, але це не врятувало 236 мільйонів збитків AAVE.

Якщо говорити про системний ризик у DeFi, як його правильно оцінити?

На цю тему ніхто не наважується відповідати серйозно.

Ми щодня говоримо про “компонованість”, хвалимо “лікарняний конструктор” — але ніхто не пояснює:

коли ви кладете rsETH, випущений протоколом A, у протокол B як заставу, берете позику в протоколі C, а потім створюєте LP у протоколі D —

ви зовсім не усвідомлюєте, що одна вразливість протоколу A може спричинити вибух B, C і D одночасно.

📉 Чи може цей інцидент зруйнувати криптосферу і стати ще одним “LUNA-інцидентом”?

Перш за все, за прямим впливом, біткоїн, як актив із низькою кореляцією з DeFi, не зазнав значних втрат. Останні дані показують, що щотижневий чистий потік у США у спотовий ETF на біткоїн залишається близько 1 мільярда доларів, що свідчить про збереження довіри основних інвесторів до біткоїна.

Що стосується косвенного впливу, то інцидент з LUNA теж не спричинив значного падіння біткоїна, але став прологом до останньої хвилі падінь у бичачому ринку. Глибоке падіння LUNA до нуля спричинило паніку в криптосфері. Сьогодні, через кілька років, ціна AAVE вже знизилася на 30%, і досі немає остаточного рішення щодо обробки збитків у 236 мільйонів доларів — це причина постійного відтоку коштів із протоколу.

👀 Наступне питання: як обробити цю 236-мільйонну збиткову заборгованість? Якщо ситуація продовжить погіршуватися, ціна AAVE може ще більше знизитися. Але враховуючи низьку повторюваність інциденту, ймовірно, не станеться ланцюгової реакції, що призведе до “смертельної спіралі” LUNA.

І нарешті, питання: хто має компенсувати цю 236-мільйонну заборгованість?

А. Aave самостійно (адже вони отримали відсотки)

Б. Kelp DAO (за випущені вами токени)

В. LayerZero (через вразливість у коді)

Г. користувачі, що прийняли це (адже це не перший раз)

Залишайте свої відповіді у коментарях!