@dcfgod benar! Forensik eksploitasi rsETH. Langsung di blockchain. 1/ Dompet penyerang: 0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF Tangga pasokan Aave V3, satu dompet: 1 → 400 → 5.000 → 20.000 → 27.999 rsETH. Uji-coba-terus-perluas secara klasik. Uji dengan 1 token, tingkatkan setiap kali sebelumnya terpenuhi. 53.400 rsETH dari dompet ini. ~$134 juta. Total klaster: ~116.500 rsETH. ~$290 juta. 2/ Cadangan ETH Aave V3, langsung: Disetor: 2,71 juta WETH ($6,37 miliar) Dipinjam: 2,71 juta WETH ($6,37 miliar) Utilisasi: 100% APY pasokan: 7,36% APY pinjaman: 8,71% Itulah bank run. Pemasok WETH terkunci. Penarikan diblokir, seperti pertama kali dilaporkan oleh @Marczeller. 3/ Mekanisme. Penyerang menguras rsETH (vektor jembatan OFT, menurut laporan awal). Menyediakannya sebagai jaminan di Aave V3 mainnet. Meminjam WETH maksimum hingga ambang batas likuidasi. Lalu pergi. Kelp menghentikan penukaran. Likuiditas rsETH sekunder retak. Oracle Aave masih menandai mendekati paritas. Pelikuidasi tidak dapat menutup posisi pada harga pasar. Selisih ini menjadi utang buruk pada cadangan WETH. 4/ Runtuhnya kerugian. a. Umbrella. Uji tekanan pertama yang langsung dilakukan terhadap pengganti Safety Module Q4 2025. Apakah akan sepenuhnya memotong staker aWETH untuk menutupi defisit? b. Aliran potongan sisa secara proporsional kepada pemasok WETH yang tersisa. c. Pemegang rsETH mainnet Kelp tetap utuh. Dukungan ETH asli tidak tersentuh, pasokan beredar tidak berubah. Ini bukan eksploitasi pencetakan Kelp. Ini adalah pencurian jembatan yang berubah menjadi utang buruk Aave melalui pencairan instan. 5/ Pelajaran dasar. Mendaftarkan LRT, atau derivatif apa pun yang dijembatani, sebagai jaminan berarti menanggung seluruh tumpukan ketergantungan hulu: - Konfigurasi dan keamanan jembatan (@LayerZero_Core OFT di sini) - Izin pencetakan dan pembakaran - Feed oracle dan mekanisme penukaran - Kontrak biaya dan logika wrapper Setiap titik kegagalan tunggal di hulu menjadi utang buruk WETH di hilir. @StaniKulechov, ini adalah masalah otoritas pendaftaran lebih daripada masalah token. Jika tumpukan tidak dapat sepenuhnya dinilai dan disimulasikan, jangan daftarkan.
Bagikan
Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini.
Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.