DeFi знову був викрадений на 292 мільйони доларів, тепер навіть Aave не безпечний?

null

Оригінал | Odaily 星球日报（@OdailyChina）

Автор｜Azuma（@azuma_eth）

Китайський стандартний час 19 квітня, безпека DeFi знову зазнала серйозних ударів.

Дані на блокчейні показують, що сьогодні о 1:35 ранку приблизно, другий за обсягом протокол динамічного стейкінгу Kelp DAO, заснований на LayerZero, підозрюється, був використаний хакерами через мостовий контракт rsETH, що базується на LayerZero, і було вкрадено 116500 rsETH, що приблизно дорівнює 2.92 мільярдам доларів.

Продовжуючи слідкувати за записами в блокчейні, адреса атаки приблизно за 10 годин до інциденту отримала початковий капітал у 1 ETH через протокол змішування Tornado Cash, після чого ця адреса викликала функцію lzReceive у контракті EndpointV2 LayerZero, що спричинило переказ 116500 rsETH на іншу адресу зловмисника.

Після інциденту приблизно через 2 з половиною години офіційний акаунт Kelp DAO у X підтвердив, що сталася атака: «Ранком ми виявили підозрілу міжланцюгову активність, пов’язану з rsETH. Під час розслідування ми призупинили основну мережу та кілька контрактів rsETH на Layer2. Наші аудитори співпрацюють із фахівцями з безпеки LayerZero та Unichain, щоб уважно стежити за ситуацією. Надалі ми повідомимо вас про останні новини, слідкуйте за офіційними каналами.»

Після інциденту різні DeFi-проекти та безпекові організації проаналізували причини події. D2 Finance у своєму аналізі багато разів цитувався в спільноті — LayerZero Scan позначив цю сторону як Kelp DAO, що означає, що повідомлення походить від легітимного контракту, розгорнутого самим Kelp, і цей шлях раніше містив 308 повідомлень з nonce. Тому основною причиною атаки є «злом приватного ключа вихідної ланцюга».

Розробник TinyHumans AI Steven Enamakel додав, що цей контракт захищений лише одним 1/1 набором валідаторів (DVN), що означає, що одна неправильна транзакція валідатора може спричинити проблему.

Хакери скористалися Aave для втечі, ймовірно, спричинивши непогашені борги

Оскільки ліквідність для rsETH обмежена, хакери обрали стратегію втечі через використання кредитних протоколів, таких як Aave, щоб залучити rsETH і позичити більш ліквідний wETH.

За даними PeckShield Alert, станом на 4:30 ранку сьогодні, адреса зловмисника вже депонувала вкрадені rsETH у протоколи Aave V3, Compound V3, Euler та інші, а також позичала значну кількість WETH, загальна заборгованість перевищує 236 мільйонів доларів — з них лише на платформі Aave заборгованість становить 196 мільйонів доларів, на Compound — 39.4 мільйони, а Euler — лише 84 тисячі доларів.

Після інциденту Aave одразу заблокував ринок rsETH на Aave V3 та V4, а команда пізніше опублікувала заяву у X: «Контракти Aave не були зламані, цей інцидент пов’язаний із rsETH. Блокування rsETH зроблено для запобігання нових депозитів і заставних позик під час оцінки ситуації. Ми перевіряємо інформацію про позики rsETH, що відбулися після атаки, і швидко поділимося додатковими деталями.»

Після публікації початкової заяви Aave оновив цю інформацію, додавши наприкінці: «Якщо цей протокол зазнає непогашених боргів через цю подію, ми розглянемо можливості компенсації дефіциту.»

На момент публікації невідомо точна сума непогашених боргів, спричинених цим інцидентом.

Стратегічний керівник конкурента Aave — Spark, monetsupply.eth, заявив, що якщо rsETH знизиться на 19% (збитки становитимуть 19% від загальної пропозиції rsETH), Aave може зазнати збитків понад 100 мільйонів доларів через високоризикове циклічне позичання з високим кредитним плечем.

Однак засновник провідної команди управління екосистемою Aave — Aave Chan Initiative (ACI), Marc Zeller (який оголосив про вихід із Aave у липні через розбіжності у керівництві), висловив іншу думку. Зеллер у перші години після інциденту радив користувачам швидко вивести WETH із Aave V3, щоб уникнути втрат, і підтвердив, що ринки USDC і USDT на Aave не постраждали. Відповідаючи на припущення іншого користувача про можливий збиток у мільярди, він сказав: «Це значно менше цієї цифри.»

З іншого боку, Зеллер також зазначив, що настав час перевірити Umbrella у реальних умовах. Це автоматичний модуль безпеки Aave — так званий фонд для боротьби з непогашеними боргами, у який користувачі можуть вносити активи для отримання високих стимулів, але при цьому цей фонд також несе потенційні збитки у разі непогашених боргів.

За даними протоколу Aave, наразі у Umbrella зберігається близько 50 мільйонів доларів у WETH, які можуть бути використані для покриття потенційних збитків від цього інциденту, але наразі невідомо, чи вистачить їх для закриття дірки.

Через цей інцидент ціна AAVE короткостроково знизилася майже на 10%, і станом на публікацію становить приблизно 104.6 USDT.

Ще один масштабний інцидент безпеки у квітні

Це не перший великий інцидент безпеки цього місяця.

Ще 1 квітня протокол деривативних торгів на Solana — Drift Protocol — зазнав атаки, внаслідок якої було вкрадено до 280 мільйонів доларів (див. «Жарт на День сміху? Drift Protocol був зламаний на понад 2.8 мільярда доларів, можливо, другий за масштабом DeFi крадіжка в екосистемі Solana»).

Після цього Drift Protocol звинуватив у крадіжці «північних хакерів», але щасливо, що Tether та інші інститути пообіцяли інвестувати 147.5 мільйонів доларів для компенсації користувачам, що дає їм надію на відшкодування.

Лише через кілька тижнів стався ще один масштабний хакерський інцидент — і що тепер буде?

Чи залишилися ще безпечні місця у DeFi?

Проблеми безпеки у DeFi стають все гострішими.

З одного боку — безперервні атаки хакерів, з іншого — постійні загрози з боку AI, таких як Mythos (див. «Odaily ексклюзивне інтерв’ю з Юй Цзюнь: Витік нової моделі рівня ядерної бомби Anthropic, як це впливає на безпеку крипто-атаки та захисти?»). Для користувачів DeFi раніше основною стратегією було зосереджувати кошти на протоколах із високим рівнем аудиту та доброю репутацією, але тепер навіть топові протоколи, такі як Aave, які в підсумку вважаються менш схильними до проблем, також піддаються впливу. Куди тоді можна безпечно переорієнтувати свої кошти?

Що стосується особисто мене, наразі не дуже рекомендується тримати великі суми на ланцюгу. Якщо ж потрібно — обов’язково диверсифікуйте та ізолюйте свої позиції.

На момент публікації багато деталей цієї події залишаються невідомими, Odaily продовжить стежити за розвитком ситуації, слідкуйте за оновленнями.