@dcfgod está certo! Forense da exploração rsETH. Ao vivo na cadeia. 1/ Carteira do atacante: 0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF Escada de suprimentos do Aave V3, uma carteira: 1 → 400 → 5.000 → 20.000 → 27.999 rsETH. Teste e escala clássico. Probe com 1 token, aumente sempre que o anterior for esgotado. 53.400 rsETH dessa carteira. ~$134 milhões. Total do cluster: ~116.500 rsETH. ~$290 milhões. 2/ Reserva ETH do Aave V3, ao vivo: Suprido: 2,71 milhões WETH ($6,37 bilhões) Emprestado: 2,71 milhões WETH ($6,37 bilhões) Utilização: 100% APY de suprimento: 7,36% APY de empréstimo: 8,71% Essa é a corrida aos bancos. Os fornecedores de WETH estão bloqueados. Saques impedidos, conforme inicialmente sinalizado por @Marczeller. 3/ O mecanismo. O atacante drenou rsETH (vetor da ponte OFT, segundo relatos iniciais). Fornecido como garantia no Aave V3 mainnet. Emprestou o máximo de WETH até o limite de liquidação. Saiu. Kelp pausou resgates. A liquidez secundária de rsETH rachou. O oracle do Aave ainda marca próximo ao paridade. Liquidadores não conseguem encerrar a posição ao preço de mercado. O hiato se torna dívida ruim na reserva de WETH. 4/ Cascata de perdas. a. Umbrella. Primeiro teste em tempo real do substituto do Safety Module para Q4 2025. Ele reduzirá totalmente os stakers de aWETH para cobrir o déficit? b. Perdas residuais distribuídas proporcionalmente aos fornecedores restantes de WETH. c. Titulares de rsETH no mainnet da Kelp estão intactos. O suporte nativo em ETH permanece inalterado, a oferta circulante não mudou. Isso não é uma exploração de emissão da Kelp. É um roubo na ponte que se tornou dívida ruim no Aave por meio de saque instantâneo. 5/ A lição primitiva. Listar um LRT, ou qualquer derivado ponteado, como garantia significa assumir toda a pilha de dependências upstream: - Configuração e segurança da ponte (@LayerZero_Core OFT aqui) - Permissões de emissão e queima - feeds de oracle e mecanismos de resgate - Contratos de taxas e lógica de wrapper Qualquer ponto único de falha upstream se torna dívida ruim em WETH downstream. @StaniKulechov, esse é um problema de autoridade de listagem, mais do que um problema de token. Se a pilha não puder ser totalmente precificada e simulada, não a liste.
Compartilhar
Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações.
Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.