DeFi mencuri $292 juta lagi, dan bahkan tidak aman untuk Aave
Aave telah menyatakan bahwa ia "akan mengeksplorasi cara untuk menebus utang yang buruk", tapi tidak ada jumlah tertentu telah diungkapkan。
Original Odaily Daily@ OdailyChinaAku tidak yakin
Oleh Azuma@ azuma ethAku tidak yakin
Pada 19 April, waktu Beijing, DeFi dipukul lagi dengan kerusakan keamanan。
Data pada rantai menunjukkan bahwaSekitar 1: 35 pagi ini, Kelp DAO, perjanjian janji bergerak kedua terbesar berdasarkan kontrak jembatan Lapis Zero, diduga telah digunakan oleh hacker untuk kehilangan 116.500 rsET, dihargai sekitar $292 juta。
Terus merekam bahwa alamat penyerang menerima dana awal dari 1 ETH dari Tornado Cash sekitar 10 jam sebelum kejadian, dan kemudian alamat yang disebut fungsi lzReceive dari kontrak LalerZero Endpoint V2, yang memicu kontrak jembatan Kelp 's, mentransfer 116.500 rSETH ke alamat penyerang lain。
Sekitar dua setengah jam setelah kejadian, Kelp DAO resmi menegaskan serangan terhadap X: "Pada awal hari ini, kami menemukan aktivitas rantai mencurigakan melibatkan RSETH. Selama penyelidikan, kami menghentikan jaringan utama dan beberapa kontrak RSETH di Laler2. Audit kami sangat dekat mengikuti masalah dalam kerjasama dengan para ahli keamanan Layer Zero, Unichan. Kami akan menindaklanjuti dengan update, dengan perhatian ke saluran resmi."
Setelah insiden itu, DeFi proyek dan lembaga keamanan menganalisis penyebab insiden. D2 Finance berulang kali dikutip dalam analisis komunitas - LayerZero Scan ditandai source- to-end sebagai Kelp DAO, yang berarti bahwa pesan berasal dari Kelp sendiri secara hukum dikerahkan kontrak timbal balik, dan jalan sebelumnya didokumentasikan oleh 308 pesan nonce. JadiPenyebab dari serangan itu adalah "kunci pribadi rantai sumber yang rusak"。
Pengembang Tinymans Al Steven Enamakel menambahkan bahwa kontrak tersebut dijamin hanya oleh 1 / 1 pool sertifikat (DVN), yang berarti bahwa transaksi tunggal yang salah oleh sertifikat tersebut cukup untuk memicu masalah。
Hacker meminjam, ave
Beralih ke batas mobilitas transaksi rSETH sendiri, hacker telah memilih strategi keluar untuk meminjam perjanjian pinjaman seperti Aave, hipotek rSETH dan meminjamkan likuiditas yang lebih baik untuk transaksi。
Pemantauan Peck Shield menunjukkan bahwa, pada pukul 4.30 pagi ini, alamat hacker telah menyimpan rSETH curian ke dalam perjanjian Aive V3, Commund V3, Euler, dan meminjam sejumlah besar WETH, dengan utang lebih dari $236 juta - yang berutang pada satu platform di Aave sendiri, US $39.4 juta di Saind dan US $84 juta di Euler。
Setelah kejadian itu, Aafve memblokir pasar di Aave V3 dan V4, dan tim kemudian mengeluarkan pernyataan resmi di X, menyatakan: "Kontrak Aafe tidak diserang, dan serangan yang berhubungan dengan RSETH. Pembekuan RSETH dimaksudkan untuk mencegah deposit rSETH baru dan pinjaman hipotek selama penilaian situasi. Kami meninjau rSETH meminjam informasi setelah serangan di Aave dan akan berbagi rincian lebih lanjut sesegera mungkin."
Tak lama setelah penerbitan pernyataan awal, Aave memperbarui perkembangan dengan menambahkan di akhir kalimat berikut:Jika kesepakatan mengumpulkan utang buruk sebagai akibat dari peristiwa ini, kita akan mengeksplorasi cara untuk menutupi defisit。Ini tidak sama
Sebagai tanggal komunikasiJumlah utang buruk yang disebabkan oleh insiden ini tidak diketahuiAku tidak tahu。
Pesaing langsung Aave, manajer strategi Spark, Monetsupplepy.eth, menyatakan bahwa jika Rut ETH menunjukkan diskon 19 persen (19 persen dari total pasokan rSETH), Aafve bisa menghasilkan hutang-hutang yang buruk lebih dari $100 juta karena pengaruh tinggi dari pinjaman revolving。
Namun, Marc Zeller, pendiri Ave Chan, Pemerintah Lingkungan (ACI), yang mengumumkan bahwa ia akan menarik diri dari Aave pada bulan Juli karena perbedaan pemerintahan, membuat titik yang berbeda. Zeller menyarankan pengguna untuk memindahkan WeTH dari Aafve V3 secepat mungkin untuk menghindari kerugian dan mengkonfirmasi bahwa USDC dan USDT pasar di Aawe tidak terpengaruhDalam menanggapi spekulasi pengguna lain bahwa "utang buruk bisa mencapai ratusan juta", katanya: "jauh lebih kecil dari angka itu"
Tapi Marc Zeller juga menyebutkan saatnya menguji Umbrella di lingkungan produksi yang sebenarnya. Umbrella, modul keamanan otomatis untuk Aafe, hanyalah satu kolam utang buruk yang dapat menyimpan aset untuk mendapatkan insentif yang lebih tinggi, tetapi di mana kesepakatan itu buruk, kolam renang juga menanggung kerugian potensial。
Data perjanjian Aafve menunjukkan bahwa ada kurangnya informasi tentang situasiSaat ini, Umbrella memiliki sekitar 50 juta dolar dari WeTH yang tersedia untuk menangani kemungkinan utang buruk dari acara ini, tapi belum pasti bahwa itu akan cukup untuk mengisi lubang。
SEBAGAI HASIL DARI INSIDEN TERSEBUT, GARIS PENDEK AAVE DIJATUHKAN HAMPIR 10 PERSEN, PADA SAAT LAPORAN SEMENTARA, 104.6 USDT。
Insiden keamanan milyar lainnya di bulan April
Ini bukan insiden keamanan besar pertama bulan ini。
Pada awal 1 April, Solana Eco- Derevations Trading Agreement diserang oleh Drift Protocol, dengan kerugian sampai $280 jutaLelucon Hari Bodoh? Case)。
Kemudian, Drift Protocol membuang pot yang dicuri langsung ke "DPRK hacker", tapi untungnya, lembaga seperti Τether telah berkomitmen $147,5 juta untuk dibayar oleh para pengguna, yang setidaknya beberapa harapan untuk kompensasi。
Lebih dari selusin hari kemudian, insiden hacker skala besar lainnya pecah, dan bagaimana kita mengakhiri waktu ini
DeFi, apakah ada tempat yang aman
Keamanan DeFi sedang meningkat。
Di satu sisi, ada insiden hacker yang gigih dan di sisi lain, ada terus ancaman keamanan dari AI dan MythosOdaily interview cosinus: bagaimana kebocoran bom nuklir Anthropic baru ini mempengaruhi keamanan terenkripsi) Untuk pengguna DeFi, respon sebelumnya adalah untuk mengumpulkan dana sampai batas yang mungkin untuk perjanjian judul yang sepenuhnya diaudit, tapi hari ini, itu adalah waktu yang baik untuk dapat melakukannyaBahkan protokol tingkat atas, seperti Aafe, yang sangat bermasalah dalam kesadaran yang tersebar, secara tidak langsung terpengaruh, dan di mana pengguna dapat memindahkan uang
Dalam hal individu, memang benar bahwa pengguna tidak disarankan untuk menyimpan sejumlah besar uang dalam rantai saat ini, dan jika ada kebutuhan nyata, penting bahwa gudang tersebut tersebar dan terisolasi。
Sebagai tanggal komunikasi, rincian lebih lanjut tentang insiden tetap tidak jelas dan Odaily akan menindaklanjuti kemajuan insiden tersebut secara berkelanjutan。
