DeFi mencuri $292 juta lagi, dan bahkan tidak aman untuk Aave
Aave telah menyatakan bahwa ia ” akan menjelajahi cara - cara untuk menebus utang yang buruk ”, tetapi tidak ada jumlah tertentu yang diungkapkan。
Hari Raya Odaily AsliAndika @ OdailyChinaAku tidak yakin
Azumaeth @azumaAku tidak yakin
Pada 19 April, waktu Beijing, DeFi terkena lagi kerusakan keamanan。
Data pada rantai menunjukkan bahwaSekitar pukul 01:35 pagi ini, Kelp DAO, perjanjian sumpah mobile terbesar kedua berdasarkan kontrak jembatan RESETH Layer Zero, diduga telah digunakan oleh hacker untuk kehilangan 116.500 rSETH, dihargai sekitar $292 juta。
Kelanjutan untuk merekam pada jejak bahwa alamat penyerang ' s menerima dana awal 1 ETH dari Tornado Cash sekitar 10 jam sebelum insiden, dan kemudian alamat disebut fungsi lzReceive dari kontrak LayerZero Endpoint V2, yang memicu kontrak jembatan Kelp ' s, mentransfer 116.500 rseTH ke penyerang lain ' s alamat。
Sekitar dua setengah jam setelah kejadian itu, pejabat Kelp DAO mengkonfirmasi serangan terhadap X, ” Pada awal hari ini, kami menemukan aktivitas rantai silang yang mencurigakan yang melibatkan rsETH. Kami menggantung jaringan utama dan beberapa kontrak RSETH di Layer2. Para auditor kami telah mengikuti erat masalah kerja sama dengan para ahli keamanan dari Layer Zero, Unichan. (Dan Kami akan menyelesaikan urusan itu) Kami akan menyelesaikan semua amal perbuatan kami (dengan sebaik-baiknya) sesuai dengan apa yang Kami kehendaki
Setelah kejadian tersebut, proyek DeFi dan lembaga keamanan menganalisis penyebab insiden tersebut. Finance D2 berulang kali dikutip dalam analisis komunitas - LayerZero Scan menandai sumber-ke-akhir sebagai Kelp DAO, yang berarti bahwa pesan berasal dari Kelp sendiri secara hukum dikerahkan kontrak timbal balik, dan jalur tersebut sebelumnya didokumentasikan oleh 308 pesan nonce. JadiAkar penyebab serangan itu adalah \"kunci pribadi rantai sumber yang rusak\"。
Pembangun Ai TinyHumans AI Steven Enamakel menambahkan bahwa kontraknya hanya diamankan oleh kolam certifier 1/1 (DVN), yang berarti bahwa transaksi tunggal yang salah oleh certifier cukup untuk memicu masalah。
Hacker meminjam, aave
Keterbatasan mobilitas transaksi rsETH sendiri, para peretas telah memilih strategi keluar untuk meminjam perjanjian pinjaman seperti Aave, gadaikan rsETH dan meminjamkan likuiditas yang lebih baik untuk transaksi。
Pemantauan Alert Peck Shield menunjukkan bahwa, mulai pukul 4.30 pagi ini, alamat hacker telah memasukkan rsETH curian ke dalam perjanjian pinjaman seperti Aave V3, Compund V3, Euler, dan meminjam sejumlah besar WETH, dengan total utang lebih dari $ 236 juta - yang $ 196 juta berutang pada satu platform di Aave saja, US $ 39,4 juta di Compund dan US $ 84 juta di Euler。
Setelah kejadian itu, Aave memblokir pasar rsETH di Aave V3 dan V4, dan tim itu kemudian mengeluarkan pernyataan resmi di X, menyatakan, ” Kontrak Aave tidak diserang, dan serangan yang berkaitan dengan RSETH. Pembekuan rusETH ditujukan untuk mencegah deposit dan peminjaman hipotek baru selama penilaian situasi. Kami sedang meninjau rSETH meminjam informasi setelah serangan di Aave dan akan berbagi lebih banyak rincian secepat mungkin."
Tak lama setelah issuance pernyataan awal, Aave memperbarui pengembangan dengan menambahkan di akhir kalimat berikut:Jika kesepakatan itu menumpuk utang yang buruk sebagai hasil dari acara ini, kita akan menjelajahi cara untuk menutupi defisit。Ini tidak sama
Dari tanggal komunikasiSecara pasti jumlah utang buruk akibat insiden ini tidak diketahuiAku tidak tahu。
Aave pesaing langsungnya, manajer strategi Spark, monetsupply.eth, menyatakan bahwa jika rs ETH menunjukkan diskon sebesar 19 persen (19 persen dari total pasokan rsETH), Aave dapat menghasilkan utang yang buruk lebih dari $100 juta karena pengaruh yang tinggi dari revolving peminjaman。
Namun, Marc Zeller, pendiri Aave Chan Environmental Governance (ACI), yang mengumumkan bahwa ia akan mundur dari Aave pada bulan Juli karena perbedaan pemerintahannya, membuat poin yang berbeda. Zeller menyarankan pengguna untuk menghapus WETH dari Aave V3 sesegera mungkin untuk menghindari kerugian dan mengkonfirmasi bahwa pasar USDC dan USDT di Aave tidak terpengaruhSebagai tanggapan terhadap spekulasi pengguna lain bahwa \"piutang yang buruk dapat mencapai ratusan juta\", ia berkata, \"lebih kecil dari angka itu\"
Namun, Zeller bernama juga bahwa inilah saatnya untuk menguji Umbrella dalam lingkungan produksi yang nyata. Umbrella, modul keamanan otomatis untuk Aave, hanyalah sebuah kolam utang yang buruk untuk mana pengguna dapat mendepositkan aset demi mendapatkan insentif yang lebih tinggi, tetapi di mana perjanjian itu buruk, kolam juga menanggung kerugian potensial。
Data perjanjian Aave menunjukkan bahwa ada kurangnya informasi tentang situasiSaat ini, Umbrella memiliki sekitar $50 juta senilai WETH yang tersedia untuk menangani potensi hutang buruk dari acara ini, tetapi belum pasti bahwa itu akan cukup untuk mengisi lubang。
HASIL DARI INSIDEN TERSEBUT, GARIS PENDEK AAVE MENURUN HAMPIR 10 PERSEN, SEIRING DENGAN WAKTU LAPORAN INTERIM, 104,6 USDT。
Insiden keamanan tingkat miliaran tahun April
Ini bukan insiden keamanan besar pertama bulan ini。
Pada awal 1 April, perjanjian perdagangan Solana Eco-Delivatives diserang oleh Drift Protocol, dengan kerugian hingga $280 jutaLelucon Hari Bodoh? Kasus Skandina)。
Belakangan, Drift Protocol membuang pot curian itu langsung ke ” hacker - hacker DPRK ”, tetapi untungnya, lembaga - lembaga seperti Tether telah melakukan $147,5 juta untuk dibayar oleh para pengguna, yang setidaknya memiliki harapan untuk kompensasi。
Hanya lebih dari selusin hari kemudian, insiden hacker skala besar lainnya pecah, dan bagaimana kita akhir kali ini
DeFi, apakah ada tempat yang aman
Keamanan DeFi meningkat。
Di satu sisi, ada insiden peretas yang gigih dan di sisi lain, ada ancaman keamanan dari AI dan MythosBagaimana kebocoran model bom nuklir Antropik baru mempengaruhi keamanan terenkripsi) Bagi para pengguna DeFi, tanggapan sebelumnya adalah mengumpulkan dana semaksimal mungkin untuk kesepakatan utama yang sepenuhnya diaudit dan dapat direputasikan, tetapi hari ini, waktu yang tepat untuk dapat melakukannyaBahkan protokol tingkat atas, seperti Aave, yang sangat bermasalah dalam kesadaran yang tersebar, secara tidak langsung terpengaruh, dan di mana pengguna dapat memindahkan uang
Dalam hal individu, memang benar bahwa pengguna tidak disarankan keras untuk menyimpan sejumlah besar uang dalam rantai pada saat ini, dan jika ada kebutuhan yang nyata, penting bahwa gudang tersebut akan tersebar dan terisolasi。
Sebagai tanggal komunikasi, rincian lebih lanjut tentang insiden tetap tidak jelas dan Odaily akan menindaklanjuti perkembangan insiden tersebut secara berkelanjutan。
