Halaman Utama
Berita
Butiran

116.500 rsETH dicuri dalam serangan Aave melalui eksploitasi LayerZero

iconMetaEra
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$2,392.863.17%
This is the logo of the coin.
AAVE
$94.243.07%
AI summary iconRingkasan

expand icon
Sebuah eksploitasi DeFi yang menargetkan protokol pesan lintas rantai LayerZero menyebabkan serangan kripto di mana 116.500 rsETH dipalsukan dan digunakan sebagai jaminan di Aave untuk meminjam WETH. Kejadian ini memicu krisis utang buruk, mendorong Aave untuk membekukan pasaran di Ethereum, Arbitrum, Base, Mantle, dan Linea. Serangan ini menonjolkan risiko dalam jembatan lintas rantai dan LRT, sementara reka bentuk pasaran terpisah Morpho berjalan lebih baik. Fluid Protocol merespons dengan melancarkan program penebusan aWETH untuk pengguna Aave.
Kecairan seluruh pasaran pinjaman tiba-tiba terhenti.

Penulis artikel, sumber: 0x9999in1, ME News

TL;DR

  • Kualitatif: Black swan terbesar tahun 2026. Penyerang memalsukan mesej lintang rantai LayerZero tanpa kos, memperoleh 116.500 rsETH secara semu. Ini bukan sekadar lubang keamanan kod, tetapi kegagalan menyeluruh mekanisme kepercayaan lintang rantai.
  • Rangkaian perangkap: Mangsa hacker bukan rsETH itu sendiri, tetapi emas dan perak sebenar di dalam Aave. Dengan menggunakan "sijil udara" sebagai jaminan, mereka meminjam WETH dalam jumlah besar. Yang tinggal untuk Aave ialah lubang hitam hutang tak dijamin yang besar.
  • Arsitektur diuji: Di bawah tekanan, warna asli protokol terungkap. "Pasar sepenuhnya terisolasi" Morpho lulus dengan sempurna hanya dengan eksposur rendah sebesar $1 juta; sementara "likuiditas global" Aave terpaksa membekukan seluruh sistem, mengungkap kerentanan sistemik.
  • Memanfaatkan peluang dalam kemusnahan dan menyelamatkan diri: Fluid segera melancarkan protokol penebusan aWETH, menembak tepat pengguna Aave yang terjejas, mempersembahkan serangan vampire likuiditi yang menjadi contoh sempurna.
  • Refleksi dasar: Penggabungan LRT (liquidity re-staking) dan jembatan lintas rantai (OFT) sedang menciptakan "produk derivatif aset beracun" di dunia DeFi. Semakin tinggi susunan Lego, semakin hancur saat jatuh. Setelah krisis, rekonstruksi standard jembatan lintas rantai sudah menjadi keharusan.

Akhir pekan yang mengejutkan: Ketika alarm berbunyi di dark web

Modal tidak pernah tidur. Perompak cyber juga begitu.

Jaringan Ethereum pada hari Sabtu, yang sebelumnya seperti mesin cetak uang yang tepat, dengan tenang memproses blok-blok. Tetapi sekumpulan rekod transaksi aneh, secara serta-merta merobek ketenangan ini. 116,500 rsETH. Ini bukan jumlah yang kecil. Ini adalah nombor astronomi.

Ini duit siapa? Ia adalah duit peluh pengguna Kelp DAO yang dikuasakan semula.

Kenapa hilang? Kerana protokol komunikasi jambatan lintas rantai LayerZero telah “ditipu”.

Bayangkan anda adalah pemilik sebuah gerai gadaian. Seseorang datang dengan cek bank Swiss palsu, tanpa rasa malu, mengambil sebanyak satu tan emas dari anda. Inilah yang berlaku pada hujung minggu. Peretas tidak menyerang brankas secara paksa, tidak juga memecahkan logik matematik asas kontrak pintar. Mereka melakukan perkara yang lebih bijak dan lebih mematikan: memalsukan mesej lintas rantai LayerZero.

Mesej mengatakan: "Saya menyimpan duit di rantai itu, sila berikan pinjaman kepada saya di rantai ini."

Kontrak jambatan percaya. Ia dengan patuh membuka pintu.

116,500 unit rsETH kini masuk ke poket perompak. Ini adalah serangan DeFi terbesar sejak tahun 2026. Namun, perhatikan bahawa ini hanyalah permulaan mimpi buruk. Perompak tidak menginginkan rsETH, sejenis token derivatif yang mempunyai kaitan perniagaan yang sangat kuat. Mereka menginginkan wang tunai sejati. Mereka menginginkan WETH.

Oleh itu, teropong senapang itu diarahkan kepada bank pusat terbesar dunia DeFi — Aave.

Rancangan berantai mematikan: Aave dan "jaminan hantu"

Rantai logik perompak sangat menakutkan.

Langkah pertama, ciptakan udara. Melalui lubang keamanan jembatan lintas rantai, ciptakan rsETH secara sembarangan.

Langkah kedua, menukar udara. Simpan "rsETH hantu" yang tidak disokong oleh aset dasar ini ke Aave.

Langkah ketiga, keringkan darah. Gunakan rsETH sebagai jaminan, pinjamkan WETH secara gila-gilaan.

Kontrak pintar Aave memahami matematik, tetapi tidak memahami hati manusia, apalagi kekacauan di sebalik jambatan lintas rantai. Dalam pandangan oracle Aave, harga rsETH masih diikat kepada Ethereum. Kadar jaminan sihat. Pinjamkan. Pinjamkan. Terus pinjamkan.

Boom. Bangunan akan runtuh.

Ketika Kelp DAO dan LayerZero sedar, semuanya sudah terlambat. Di dalam simpanan Aave, timbunan “rsETH hantu” yang tidak bernilai itu menumpuk. Sementara itu, WETH putih bersih milik pengguna sebenar telah dirampas habis oleh perompak.

Apa ini? Dalam perbankan tradisional, ini dipanggil masalah kredit sistemik. Dalam DeFi, ini dipanggil permulaan spiral kematian.

Tindakan Aave tidak boleh dikatakan lambat. Dibekukan. Semua dibekukan. Ethereum, Arbitrum, Base, Mantle, Linea. Semua simpanan WETH dan aset rsETH di pasaran yang terjejas, sama ada versi V3 atau V4, semuanya dihentikan. Aave secara rasmi menyatakan bahawa "rsETH di mainnet disokong sepenuhnya", tetapi pernyataan ini kelihatan lemah pada masa ini. rsETH di mainnet memang disokong, tetapi bagaimana dengan rsETH yang dihasilkan melalui lubang keamanan lintas rantai? Siapa yang akan mengisi kekosongan WETH yang telah ditarik?

Aave terpaksa memasuki keadaan "gagal kuantum Schrödinger". Sebelum audit menyeluruh dan pemulihan dana, tiada siapa yang tahu seberapa besar lubang hitam ini. Sebagai batu asas paling penting dalam DeFi Lego, pembekuan Aave bermakna likuiditi seluruh pasaran pinjaman mengalami serangan jantung secara serta-merta.

Kolam isolasi dan ranjau berantai: Pelbagai wajah DeFi

Ketika air pasang surut, anda tidak hanya dapat melihat siapa yang berenang tanpa pakaian, tetapi juga siapa yang membuat kapal dengan ruang kedap air.

Peristiwa rsETH seperti bom dalam air yang mengungkap perbezaan besar dalam struktur pengurusan risiko protokol DeFi. Tindakan setiap protokol menghadapi aset racun lintas rantai ini, bagaikan sebuah kisah hidup keuangan yang kejam.

Mari kita gunakan satu jadual untuk mengupas strategi protokol-protokol ini.

Adakah anda faham? Ini adalah peraturan permainan separuh kedua DeFi.

Kemenangan Morpho: Mengapa Morpho berani mengatakan ia selamat? Kerana mereka tidak menggunakan pendekatan "kuali besar". Model Aave menggabungkan semua dana ke dalam satu kolam besar; jika satu aset gagal, keseluruhan dana dalam kolam itu mungkin digunakan untuk menutupi hutang tak tertagih. Sebaliknya, Morpho menggunakan "reka bentuk pasaran terpisah sepenuhnya" (Isolated Markets). Anda beracun? Anda rosak di kolam kecil anda sendiri, jalan utama saya tetap lancar. Paparan sebanyak $1 juta sahaja, bagi Morpho, tidak sampai melukakan kulit. Ini adalah serangan penurunan dimensi dari reka bentuk mekanisme.

Strategi Fluid: Ketika semua protokol sedang bertahan, Fluid menarik pedangnya. Mereka mengumumkan pelancaran protokol penebusan aWETH. Apa operasi ini? Ini adalah menuangkan garam ke luka Aave, sambil mengisap darahnya sendiri. ETH anda di Aave terkunci dan tidak boleh ditarik? Tidak apa-apa, Fluid menjanjikan pembayaran kepada anda. Pindahkan hutang anda kepada kami, dan kami akan segera menukarnya menjadi wstETH atau weETH, melepaskan likuiditi anda. Kapasiti awal sebanyak 1 miliar dolar AS, seolah-olah berteriak kepada pengguna Aave: "Beralihlah ke pihak yang benar!" Ini adalah perang perniagaan yang murni, dingin, efisien, dan tepat sasaran.

Garis bawah Reserve: Tindakan Reserve memperlihatkan daya tarik keuangan terstruktur. Walaupun menghadapi keadaan ekstrem, pemegang DTF mereka hampir tidak terkesan. Mengapa? Kerana mereka merekabentuk pemegang RSR sebagai "modal kerugian pertama" (First-loss capital). Ia seperti bumbung keselamatan dalam sistem kewangan—apabila berlaku kemalangan, bumbung keselamatan yang pecah terlebih dahulu, melindungi ruang pemandu.

Pernyataan daripada protokol seperti Polygon, EtherFi, dan Maple lebih merupakan tindakan PR untuk memberi tahu bahawa semuanya baik-baik saja, guna menenangkan penyedia likuiditi (LP) di dalam ekosistem masing-masing.

Sumber racun: Pertemuan mematikan antara LRT nesting dan jambatan lintas rantai

Jika anda hanya melihat peristiwa ini sebagai serangan peringatan biasa, anda terlalu naif. Pada dasarnya, ini adalah kegagalan tak terelakkan yang disebabkan oleh “finansialisasi berlebihan”.

Mari kita fokuskan perhatian pada pelaku utama peristiwa ini: rsETH.

Apakah rsETH? Ia adalah token re-staking berkelancaran (LRT) yang dikeluarkan oleh Kelp DAO.

Ini sendiri adalah sebuah kotak dalam kotak. Pengguna mengikat ETH ke jaringan Ethereum, menerima LST (seperti stETH). Kemudian, mereka mengikat LST ke protokol seperti EigenLayer, untuk mendapatkan LRT (seperti rsETH).

Kenapa perlu bersusah payah begitu? Untuk keuntungan. Untuk memanfaatkan setiap bunga terakhir daripada Ethereum.

Ini sendiri tidak salah. Modal mencari keuntungan adalah sifat alami. Tetapi masalahnya terletak pada langkah seterusnya: antara rantai.

Kerana kekakuan struktur multi-chain DeFi, Kelp DAO telah mengintegrasikan piawaian OFT (Token Homogen Penuh Lintas-Chain) LayerZero untuk membolehkan rsETH beredar di pelbagai L2 (jaringan lapisan dua).

Sekarang jadi begini. Aset yang sebelumnya dilindungi oleh konsensus ketat rangkaian utama Ethereum, keselamatannya segera diturunkan kepada keselamatan jambatan silang-rangkaian.

Adakah anda menyedari? Di atas satu rantai lever yang panjang, sekiranya satu sambungan sahaja gagal, keseluruhan sistem akan runtuh.

Jembatan lintas rantai selalu menjadi tumit Achilles DeFi. Dari peristiwa perampasan Ronin pada 2022 (USD 625 juta), hingga PolyNetwork dan Wormhole, sejarah berulang kali membuktikan bahawa menghantar buku akaun aset bernilai puluhan miliar antara dua rantai blok yang tidak saling percaya melalui sekumpulan nod pihak ketiga (penerus/penyedia data) adalah perkara yang sangat berbahaya.

LayerZero secara rasmi menyatakan "telah memahami sepenuhnya insiden lubang keamanan dan bekerja sama secara aktif dengan KelpDAO untuk memperbaikinya". Namun, kami telah mendengar pernyataan semacam ini terlalu sering. Memperbaiki satu lubang keamanan pasti akan menciptakan lubang lain akibat kompleksiti arsitektur. Apabila pesan lintas rantai boleh dipalsukan, standard OFT menjadi cek kosong yang boleh diisi sewenang-wenang.

Penutup: Siapa yang akan membayar?

Sudah sampai tahap ini, semuanya berantakan.

Kekurangan 116,500 keping rsETH, siapa yang akan mengisinya?

Adakah perbendaharaan Kelp DAO yang menanggung kos sendiri? Adakah LayerZero merugi hanya untuk menarik perhatian? Ataukah pemegang token tata kelola Aave terpaksa melemahkan hak mereka untuk menutupi hutang tak tertagih? Atau, akhirnya, kerugian ini ditanggung oleh pengguna biasa yang tidak bersalah, yang membiarkan dana mereka di dalam kolam hanya kerana mengejar beberapa persen APY?

Tiada siapa yang ingin menjadi mangsa. Tetapi pada akhir permainan, pasti ada yang akan berdarah.

Apakah badai ini meninggalkan apa kepada kita?

Ia mengumumkan dengan cara yang sangat kejam: di hutan gelap DeFi, tidak ada yang "terlalu besar untuk gagal". Model likuiditi global Aave terlalu berat menghadapi risiko ekstrem ekor; sementara konsep kolam terpisah Morpho mungkin merupakan jawapan yang tepat untuk siklus seterusnya.

Ia juga mencabut cadar dari liquidity restaking (LRT). Kita terlalu terperangkap dalam menimbun blok Lego dan keuntungan bersendi yang diciptakan secara semu, sehingga mengabaikan asas dasar yang sudah runtuh. Ketika LRT dengan risiko lintas rantai diizinkan sebagai jaminan untuk protokol pinjaman biru-chip teratas, bom masa telah ditanam.

Tidak ada yang baru di bawah matahari. Kod adalah undang-undang, tetapi undang-undang sentiasa mempunyai kelemahan.

Apabila anda melihat melalui lapisan-lapisan pakaian kewangan ini, anda akan mendapati bahawa semuanya tidak lain daripada permainan kucing dan tikus tanpa henti antara keserakahan manusia dan ketidaksempurnaan teknologi.

Pusing seterusnya, sudah dimulakan pembahagian kad. Anda, masih di meja kad?

Sumber rujukan:

  1. Aave Governance Forum. (2026). "Kemas kini insiden: Penangguhan Pasar rsETH dan Penilaian Hutang Buruk."
  2. Blog Rasmi Fluid Protocol. (2026). "Memperkenalkan aWETH: Penebusan Likuiditi untuk Peminjam ETH."
  3. Morpho Labs Keselamatan Post. (2026). "Analisis Post-Mortem: Mengapakah Pasaran Terpisah Melindungi Morpho daripada Eksploit rsETH."
  4. LayerZero Communications. (2026). "Tanggapan terhadap Eksploitasi Kelp DAO rsETH dan Kemas Kini Keselamatan OFT."
  5. Dokumen Reserve Protocol. (2026). "Memahami Modal Kerugian Pertama dalam Mekanik DTF."
Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.