หน้าแรก
ข่าวสาร
รายละเอียด
source avatarTop 7 Crypto | Analytics & Alpha

แชร์
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$2,399.774%
This is the logo of the coin.
AAVE
$94.6634.17%

การโจมตี KelpDAO: สร้างเงิน $292 ล้านผ่านสะพาน LayerZero แบบ 1-of-1 หนี้เสีย $177 ล้านตอนนี้ตกไปที่ Aave Umbrella การดึงเงินจาก DeFi ครั้งใหญ่ที่สุดในปี 2026 ไม่ได้เกิดจากช่องโหว่ในสัญญา แต่เกิดจากบรรทัดเดียวของการตั้งค่า เมื่อเวลา 17:35 UTC วันที่ 18 เมษายน ผู้โจมตีส่งคำเรียก lzReceive ปลอมผ่านตัวปรับของ @KelpDAO LayerZero OFT และสร้าง rsETH จำนวน 116,500 หน่วยที่ไม่มีหลักประกัน—ประมาณ 18% ของอุปทาน หรือ ~$293.5 ล้าน เพียงหนึ่งธุรกรรมและหนึ่งลายเซ็น สาเหตุหลัก: ตัวปรับ rsETH ทำงานด้วย requiredDVNCount: 1 โดยมี @LayerZero_Labs เป็นผู้ตรวจสอบเพียงรายเดียว โปรโตคอลที่มี TVL เกิน $1 พันล้านกลับใช้จุดล้มเหลวเพียงจุดเดียวในการรักษาความปลอดภัยสะพาน การถอนเงินเป็นไปตามรูปแบบมาตรฐาน แทนที่จะขายออกในสภาพคล่อง DEX ผู้โจมตีใช้โทเค็นที่ไม่มีหลักประกันเป็นหลักประกัน: • Aave Ethereum: กู้ยืม WETH 52,834 หน่วย • Aave Arbitrum: WETH 29,782 หน่วย + wstETH 821 หน่วย • โพสิชันเล็กๆ บน Compound V3 และ Euler ก่อนที่พวกเขาจะระงับการดำเนินการ ยอดกู้ยืมรวม: $200 ล้าน–$236 ล้าน โดยการโอนขั้นแรกถูกส่งผ่าน Tornado Cash ภายใน 20 นาที KelpDAO พักสัญญาภายใน 46 นาที แต่โพสิชันที่เปิดอยู่แล้วกับผู้ให้กู้ภายนอกไม่สามารถยกเลิกได้ Aave, SparkLend, Fluid, Ethena, Yearn, Pendle, Beefy และ Lombard ต่างระงับการสัมผัสกับ rsETH ภายในไม่กี่ชั่วโมง rsETH ที่ถูกเชื่อมโยงผ่าน L2 ประมาณ 20 เครือข่ายทั้งหมดตอนนี้มีโครงสร้างเสียหาย ผู้ที่ต้องรับผิดชอบหนี้เสีย ~$177 ล้านคือผู้ให้หลักประกัน WETH ใน Aave Umbrella บน Ethereum และ Arbitrum นี่คือเหตุการณ์ตัดลดเงินจริงครั้งแรกของ Umbrella—อัตโนมัติ สัดส่วนตามส่วนแบ่ง โดยไม่ต้องลงคะแนนเสียงจากผู้ดูแลระบบ คลังรวมมี TVL ~$260 ล้าน ส่งผลให้อัตราการตัดลดอยู่ที่ 60–70% ผู้ให้หลักประกันที่หาผลตอบแทนเพิ่มเติมเล็กน้อยบน aWETH จะสูญเสียสองในสามของโพสิชันของพวกเขาภายในหนึ่งคืน ผู้ถือ rsETH ที่ถูกเชื่อมโยงจะได้รับผลกระทบระดับสองด้วยการลดมูลค่า 15–20% ในขณะที่ KelpDAO เก็บ rsETH ใน Mainnet ไว้ครบถ้วน บทเรียนซ้ำแล้วซ้ำอีก สัญญาทำงานได้ตามปกติ EigenLayer ก็ปลอดภัย LayerZero ก็ไม่มีปัญหา ข้อผิดพลาดอยู่ที่การตั้งค่า—ส่วนหนึ่งของระบบซึ่งผู้ตรวจสอบไม่เคยตรวจสอบ ก่อนที่คุณจะถือว่า LRT ที่เชื่อมโยงมีมูลค่าเท่ากับเวอร์ชัน Mainnet ของมันอย่าง 1:1 ให้ตรวจสอบว่ามี DVN กี่ตัวที่รักษาความปลอดภัยให้มัน นั่นคือความแตกต่างระหว่างการลงทุนเพื่อผลตอบแทนกับการสูญเสียทั้งหมด รายงานที่ยอดเยี่ยมจาก @defiprime 🔗 https://t.co/f20MPysRPm

No.0 picture
No.1 picture
No.2 picture
No.3 picture
แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้ การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา