Eksploitasi KelpDAO: $292 juta dicetak melalui jembatan LayerZero 1-dari-1, $177 juta utang buruk kini jatuh ke Aave Umbrella Ekstraksi DeFi terbesar tahun 2026 bukan berasal dari bug kontrak. Ia berasal dari satu baris konfigurasi. Pada pukul 17:35 UTC pada 18 April, seorang penyerang mengirimkan panggilan lzReceive yang dipalsukan melalui adapter OFT LayerZero @KelpDAO dan mencetak 116.500 rsETH tanpa jaminan—sekitar 18% dari pasokan, ~$293,5 juta. Satu transaksi, satu tanda tangan. Penyebab utama: adapter rsETH berjalan dengan requiredDVNCount: 1 dengan @LayerZero_Labs sebagai satu-satunya verifier. Protokol dengan TVL lebih dari $1 miliar mengamankan jembatannya dengan satu titik kegagalan. Pencairan dana berjalan sesuai buku. Alih-alih menjual langsung ke likuiditas DEX, penyerang menggunakan token tanpa jaminan ini sebagai jaminan: • Aave Ethereum: meminjam 52.834 WETH • Aave Arbitrum: 29.782 WETH + 821 wstETH • Posisi lebih kecil di Compound V3 dan Euler sebelum mereka membeku Total pinjaman: $200 juta–$236 juta, langkah pertama dialirkan melalui Tornado Cash dalam 20 menit. KelpDAO menjeda kontrak dalam 46 menit, tetapi posisi yang sudah terbuka di pemberi pinjaman pihak ketiga tidak bisa dibatalkan. Aave, SparkLend, Fluid, Ethena, Yearn, Pendle, Beefy, dan Lombard semuanya membekukan eksposur rsETH dalam hitungan jam. Setiap rsETH yang dijembatani di sekitar 20 L2 kini mengalami kerusakan struktural. Siapa yang benar-benar membayar utang buruk sebesar ~$177 juta: para staker WETH Aave Umbrella di Ethereum dan Arbitrum. Ini adalah peristiwa slashing uang sungguhan pertama Umbrella—otomatis, proporsional, tanpa pemungutan suara tata kelola. Vault gabungan memegang TVL sekitar $260 juta, sehingga rasio slashing berada di kisaran 60–70%. Para staker yang memperoleh poin tambahan di atas aWETH akan kehilangan dua pertiga dari posisi mereka dalam semalam. Pemegang rsETH yang dijembatani mengalami kerugian tingkat dua dengan potongan 15–20%, sementara KelpDAO menjaga rsETH mainnet tetap utuh. Pelajarannya berulang. Kontrak bekerja. EigenLayer dalam keadaan baik. Protokol LayerZero juga baik. Kesalahan terletak pada konfigurasi—bagian dari stack yang tidak ditinjau oleh auditor. Sebelum Anda memperlakukan LRT yang dijembatani sebagai 1:1 dengan versi mainnet-nya, periksa berapa banyak DVN yang mengamankannya. Itulah perbedaan antara perdagangan yield dan kerugian total. Laporan hebat oleh @defiprime 🔗 https://t.co/f20MPysRPm
Bagikan
Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini.
Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.