Главная
Новости
Подробнее

116 500 rsETH украдены при взломе Aave через уязвимость LayerZero

iconMetaEra
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$2 405,044,1 %
This is the logo of the coin.
AAVE
$94,1192,01 %
AI summary iconСводка

expand icon
Эксплуатация DeFi, направленная на кросс-чейн протокол LayerZero, привела к крипто-взлому, в ходе которого было подделано 116 500 rsETH и использовано в качестве залога на Aave для получения WETH. Инцидент вызвал кризис просроченной задолженности, что побудило Aave заморозить рынки на Ethereum, Arbitrum, Base, Mantle и Linea. Атака подчеркнула риски, связанные с кросс-чейн мостами и LRT, в то время как изолированная модель рынка Morpho продемонстрировала лучшую устойчивость. Fluid Protocol ответил запуском программы выкупа aWETH для пользователей Aave.
Ликвидность всего рынка кредитования мгновенно заблокировалась.

Автор статьи, источник: 0x9999in1, ME News

Кратко

  • Качественно: крупнейший черный лебедь начала 2026 года. Злоумышленник без затрат подделал межсетевые сообщения LayerZero и незаконно получил 116 500 rsETH. Это не просто уязвимость в коде, а полный крах механизма доверия в межсетевых системах.
  • Цепная ловушка: целью хакеров является не rsETH, а реальные деньги в Aave. Используя «воздушные сертификаты» в качестве залога, они берут в долг огромное количество WETH. Оставляя Aave огромную дыру в виде беззалоговых просроченных долгов.
  • Архитектурная проверка: под давлением тестирования проявляется истинная сущность протокола. «Полностью изолированный рынок» Morpho идеально прошел тест с крайне низкой экспозицией всего в 1 миллион долларов; в то время как «глобальная ликвидность» Aave была вынуждена полностью заморозиться, обнажив системную уязвимость.
  • Использование кризиса для выгоды и спасение себя: Fluid оперативно запустил протокол выкупа aWETH, точно нацелившись на пользователей Aave с ущербом, продемонстрировав пример атаки либерального вампира из учебника.
  • Глубокое осмысление: Сочетание LRT (ре-стейкинг ликвидности) и кросс-чейн мостов (OFT) создает «токсичные производные активы» в мире DeFi. Чем выше ты строишь из лего, тем сильнее он разобьется при падении. После кризиса перестройка кросс-чейн стандартов неизбежна.

Жуткие выходные: когда сирены раздались в даркнете

Капитал не спит. Хакеры тоже.

В субботу сеть Ethereum, которая раньше работала как точный печатный станок, тихо обрабатывала блоки. Но группа странных транзакций мгновенно разорвала эту спокойную атмосферу. 116 500 rsETH. Это не маленькая сумма. Это астрономическая цифра.

Чьи это деньги? Это кровь, пот и средства ликвидности пользователей Kelp DAO.

Почему исчезло? Потому что протокол коммуникации моста LayerZero был «обманут».

Представьте, что вы владелец ломбарда. Кто-то приходит с поддельным швейцарским банковским векселем и спокойно увозит тонну золота. Именно это произошло на выходных. Хакеры не взламывали сейф и не взламывали математическую основу смарт-контрактов. Они сделали что-то более умное и смертельно опасное: подделали межсетевые сообщения LayerZero.

Сообщение говорит: «Я положил деньги на ту цепочку, теперь ты выдай мне кредит на этой цепочке».

Смарт-контракт моста поверил. Он тихо открыл ворота.

116 500 rsETH попали в карман хакера. Это крупнейший DeFi-хакинг за 2026 год. Но имейте в виду: это только начало кошмара. Хакеру нужны не rsETH — производные токены с сильной привязкой к бизнесу. Ему нужны настоящие деньги. Ему нужны WETH.

Таким образом, прицел ружья был направлен на крупнейший центральный банк мира DeFi — Aave.

Смертельный план: Aave и «призрачный залог»

Логическая цепочка хакеров пугающе ясна.

Первый шаг: создать воздух. Используя уязвимость моста между блокчейнами, вымышленно создать rsETH.

Второй шаг: обналичить воздух. Эти «призрачные rsETH», не имеющие никакой базовой активной поддержки, немедленно депонируйте в Aave.

Третий шаг: откачайте кровь. Используя rsETH в качестве залога, активно занимайте WETH.

Смарт-контракты Aave понимают математику, но не понимают человеческой природы и скрытых трюков за мостами между блокчейнами. Для оракулов Aave цена rsETH по-прежнему привязана к Ethereum. Коэффициент обеспечения в порядке. Выдать кредит. Выдать кредит. Продолжать выдавать кредит.

Бах. Здание вот-вот рухнет.

Когда Kelp DAO и LayerZero осознали происходящее, было уже слишком поздно. В казне Aave скопились эти бесценные «призрачные rsETH», а настоящие WETH, принадлежащие реальным пользователям, были полностью похищены хакерами.

Что это такое? В традиционных финансах это называется системным плохим долгом. В DeFi это называется началом смертельного спирали.

Реакция Aave была не быстрой. Заморозка. Полная заморозка. Ethereum, Arbitrum, Base, Mantle, Linea. Все резервы WETH и активы rsETH на всех затронутых рынках, как версии V3, так и V4, были поставлены на паузу. Официальное заявление Aave о том, что «rsETH на главной сети полностью обеспечен», сейчас звучит пусто. rsETH на главной сети действительно обеспечен, но что насчет rsETH, созданного через уязвимость при межсетевом переводу? Кто заполнит дыры, оставленные выведенным WETH?

Aave перешел в состояние «кота Шрёдингера» с просроченными долгами. До полного аудита и возврата средств никто не знает, насколько велик этот черный ход. Как фундаментальный кирпичик DeFi-конструктора, заморозка Aave вызвала мгновенный инфаркт ликвидности на всем рынке кредитования.

Изоляционный пул и цепная реакция: разнообразие DeFi

Когда отливает прилив, вы не только видите, кто плавает без одежды, но и кто построил корабль с водонепроницаемыми отсеками.

Событие rsETH подобно глубоководной бомбе, раскрывшей колоссальные различия в архитектуре рискового контроля DeFi-протоколов. Реакция различных протоколов на неожиданный токсичный актив через мосты стала жестокой хроникой финансового выживания.

Давайте разберем эти протоколы с помощью таблицы.

Понял? Это правила второй половины DeFi.

Победа Morpho: почему Morpho может утверждать, что она безопасна? Потому что она не использует «общий котел». Модель Aave заключается в том, чтобы объединить все средства в один большой пул: если один актив обанкротится, все средства в пуле могут быть использованы для покрытия просроченных долгов. Morpho же применяет «изолированную рыночную архитектуру» (Isolated Markets). Ты токсичен? Ты застрял в своем собственном маленьком пуле, а моя основная магистраль остается свободной. Объем риска в всего 1 миллион долларов для Morpho — это даже не царапина. Это снижение уровня конкуренции за счет архитектурного дизайна.

Скрытый ход Fluid: когда все протоколы находятся в обороне, Fluid вытащил нож. Они объявили о запуске протокола выкупа aWETH. Что это за ход? Это посыпание солью на рану Aave и одновременно собственное кровопускание. Ваши ETH в Aave заблокированы и недоступны? Не беда, Fluid обеспечит их обмен. Переведите долг мне — и я мгновенно обменяю его на wstETH или weETH, высвободив вашу ликвидность. Начальный объем в 1 миллиард долларов США — это прямой призыв пользователям Aave: «Переходите к нам!» Это чистая коммерческая война — холодная, эффективная и точно направленная в больное место.

Резервная линия: Реакция Reserve демонстрирует привлекательность структурированных финансов. Даже в экстремальных условиях держатели DTF практически не пострадали. Почему? Потому что они спроектировали RSR-стейкеров в качестве «капитала первого убытка». Это как бампер финансовой системы: при столкновении сначала ломается бампер, защищая салон.

Заявления таких протоколов, как Polygon, EtherFi и Maple, больше похожи на PR-действия с целью сообщить о безопасности и успокоить поставщиков ликвидности (LP) в своих экосистемах.

Источник токсичности: смертельный контакт LRT-матрешки и моста между блокчейнами

Если вы считаете это событие просто обычной хакерской атакой, вы слишком наивны. По сути, это неизбежный крах, вызванный «чрезмерной финансализацией».

Давайте сосредоточим внимание на главном герое события: rsETH.

Что такое rsETH? Это токен повторного стейкинга с ликвидностью (LRT), выпущенный Kelp DAO.

Это сама по себе матрёшка. Пользователь депонирует ETH в сеть Ethereum и получает LST (например, stETH). Затем он депонирует LST в протоколы, такие как EigenLayer, и получает LRT (например, rsETH).

Зачем так мучиться? Для дохода. Чтобы извлечь последний процент с Ethereum.

Это само по себе не ошибка. Капитал стремится к прибыли — это природа. Но проблема возникает на следующем этапе: межцепочечные переводы.

Из-за застоя в многопоточной архитектуре DeFi Kelp DAO интегрировал стандарт OFT LayerZero для обеспечения оборота rsETH на различных L2 (вторых уровнях).

Теперь всё в порядке. Безопасность активов, ранее защищаемых строгим консенсусом основной сети Ethereum, мгновенно снизилась до уровня безопасности мостов между блокчейнами.

Вы заметили? На длинной цепочке рычагов, если один элемент выходит из строя, вся система рушится.

Мосты между блокчейнами всегда были ахиллесовой пятой DeFi. От крупнейшего ограбления Ronin в 2022 году (625 миллионов долларов США) до PolyNetwork и Wormhole — история неоднократно доказывала, что передача бухгалтерских записей на сумму в десятки миллиардов долларов между двумя непротивоположными блокчейнами через группу сторонних узлов (ретрансляторов/оракулов) — чрезвычайно опасно.

LayerZero официально заявила, что «полностью понимает инцидент с уязвимостью и активно работает с KelpDAO над его устранением». Но мы уже слишком часто слышали подобные заявления. Устранение одной уязвимости неизбежно порождает следующую из-за сложности архитектуры. Когда межцепочечные сообщения можно подделать, стандарт OFT превращается в бланк, который можно заполнить на усмотрение.

Эпилог: Кто заплатит?

Дело дошло до этого, всё в полном беспорядке.

Кто заполнит дефицит в 116 500 единиц rsETH?

Это оплачивается из казны Kelp DAO? Это убытки LayerZero ради рекламы? Или держатели токенов управления Aave вынуждены размыть свои права для покрытия просроченных долгов? Или, в конечном итоге, убытки несут обычные пользователи, невиновные в этом, которые оставили свои средства в пуле ради нескольких процентов APY?

Никто не хочет быть жертвой. Но в конце игры кто-то обязательно будет кровопролит.

Что оставила нам эта буря?

Он ярко заявляет: в темном лесу DeFi нет ничего «слишком большого, чтобы рухнуть». Глобальная модель ликвидности Aave оказалась слишком громоздкой перед экстремальными хвостовыми рисками; а концепция изолированных пулов Morpho, возможно, является правильным решением для следующего цикла.

Он также снял занавес с ликвидностного ре-стейкинга (LRT). Мы увлеклись складыванием лего и созданием искусственной рычаговой прибыли, игнорируя то, что фундамент уже изрядно подточен. Когда LRT с межсетевым риском были допущены в качестве залога для ведущих протоколов кредитования, эта бомба с замедленным действием уже была заложена.

Нет ничего нового под солнцем. Код — это закон, но у закона всегда есть лазейки.

Когда вы проникнете сквозь эти многослойные финансовые оболочки, вы поймете, что всё это — бесконечная игра в кошки-мышки между человеческой жадностью и несовершенством технологий.

Следующий раунд уже раздает карты. Ты еще за игровым столом?

Источник:

  1. Aave Governance Forum. (2026). "Обновление инцидента: заморозка рынка rsETH и оценка безнадежного долга."
  2. Официальный блог Fluid Protocol. (2026). «Представляем aWETH: выкуп ликвидности для кредиторов ETH».
  3. Morpho Labs Security Post. (2026). "Постмортем-анализ: почему изолированные рынки защитили Morpho от эксплуатации rsETH."
  4. LayerZero Communications. (2026). "Ответ на эксплуатацию Kelp DAO rsETH и обновления безопасности OFT."
  5. Документация Reserve Protocol. (2026). «Понимание капитала первого убытка в механизме DTF».
Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.