🚨 Kelp DAO bị hack $292M, Aave dính đạn #5PC Vào lúc 0:35 giờ VN ngày 19/4, hợp đồng bridge rsETH của Kelp DAO (giao thức liquid restaking lớn thứ hai sau https://t.co/4ePd4lro3h, xây dựng trên LayerZero) đã bị hacker khai thác, gây thiệt hại 116.500 rsETH ($292M). Hacker đã rút 1 ETH từ Tornado Cash để trả phí gas và chiếm quyền kiểm soát bridge (theo phân tích ban đầu là do private key bị xâm phạm). Sau đó, hắn sử dụng key này để giả mạo lệnh chuyển tiền qua LayerZero và rút sạch 116.500 rsETH về địa chỉ của mình. Nguyên nhân vụ hack thành công dễ dàng là bridge này chỉ có một trình xác thực duy nhất (DVN 1/1), không có cơ chế kiểm tra chéo. Hacker sau đó cố gắng rút thêm 40.000 rsETH (~$100M) nhưng thất bại vì Kelp đã kịp dừng toàn bộ hợp đồng. Do rsETH có thanh khoản thấp và không thể bán trực tiếp, hacker đã chọn cách thế chấp rsETH vào các giao thức cho vay để vay ra wETH. Tính đến 2:30 sáng nay (giờ VN), tổng nợ do hacker tạo ra đã vượt quá $236M: - Aave V3: $196M - Compound V3: $39,4M - Euler: $840K Aave đã đóng băng thị trường rsETH trên cả V3 và V4, khẳng định hợp đồng của mình không bị hack và cam kết sẽ tìm cách bù đắp nếu phát sinh nợ xấu. Theo ước tính từ Spark (đối thủ trực tiếp của Aave), nếu rsETH giảm giá 19% (số rsETH bị đánh cắp chiếm 19% tổng cung rsETH), Aave có thể đối mặt với hơn $100M nợ xấu do vay vòng lặp với đòn bẩy cao. Cả $KERNEL và $AAVE đều đã giảm hơn 10% sau vụ hack.