@dcfgod betul! Analisis forensik eksploit rsETH. Langsung di atas rantai. 1/ Dompet penyerang: 0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF Tangga peminjaman Aave V3, satu dompet: 1 → 400 → 5.000 → 20.000 → 27.999 rsETH. Ujian-then-scale klasik. Uji dengan 1 token, tingkatkan setiap kali yang sebelumnya habis. 53.400 rsETH dari dompet ini. ~$134 juta. Jumlah keseluruhan kluster: ~116.500 rsETH. ~$290 juta. 2/ Simpanan ETH Aave V3, langsung: Disetorkan: 2,71 juta WETH ($6,37 bilion) Dipinjam: 2,71 juta WETH ($6,37 bilion) Penggunaan: 100% APY perbendaharaan: 7,36% APY pinjaman: 8,71% Itulah larian ke bank. Pemasok WETH terkunci. Penarikan diblokir, seperti pertama kali dilaporkan oleh @Marczeller. 3/ Mekanisme. Penyerang menguras rsETH (vektor jembatan OFT, menurut laporan awal). Menyediakannya sebagai jaminan di Aave V3 mainnet. Meminjam WETH maksimum hingga ambang pencairan. Lalu pergi. Kelp menghentikan penukaran. Likuiditas rsETH sekunder retak. Oracle Aave masih menandai hampir pada paritas. Pencair tidak dapat menutup kedudukan pada harga pasar. Kesenjangan ini menjadi hutang buruk pada simpanan WETH. 4/ Runtuhnya kerugian. a. Umbrella. Ujian tekanan pertama yang langsung terhadap pengganti Safety Module Q4 2025. Akankah ia sepenuhnya memotong staker aWETH untuk menutupi defisit? b. Aliran potongan sisa secara proporsional kepada pemasok WETH yang tersisa. c. Pemegang rsETH mainnet Kelp tetap utuh. Dukungan ETH asli tidak tersentuh, pasokan beredar tidak berubah. Ini bukan eksploit pengetikan Kelp. Ini adalah pencurian jembatan yang menjadi hutang buruk Aave melalui pencairan segera. 5/ Pelajaran primitif. Mendaftarkan LRT, atau sebarang derivatif yang dijembatani, sebagai jaminan bermakna menanggung seluruh tumpukan ketergantungan hulu: - Konfigurasi dan keamanan jembatan (@LayerZero_Core OFT di sini) - Izin pencetakan dan pembakaran - Aliran oracle dan mekanisme penukaran - Kontrak bayaran dan logik pembungkus Setiap titik kegagalan tunggal di hulu menjadi hutang buruk WETH di hilir. @StaniKulechov, ini adalah masalah otoritas pendaftaran lebih daripada masalah token. Jika tumpukan tidak dapat sepenuhnya dinilai dan disimulasikan, jangan daftarkan ia.
Kongsi
Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini.
Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.