KelpDAO sızıntısı: $292M, 1-of-1 LayerZero köprüsü aracılığıyla üretildi, $177M kötü borç şimdi Aave Umbrella'ya geçti 2026'nın en büyük DeFi çalıntısı bir sözleşme hatasından değil, tek bir yapılandırma satırından kaynaklandı. 18 Nisan'da UTC saat 17:35'te, bir saldırgan @KelpDAO LayerZero OFT adaptörü aracılığıyla sahte bir lzReceive çağrısı gönderdi ve 116.500 desteklenmeyen rsETH üretti — bu, arzın yaklaşık %18'ini, ~$293,5M'yi temsil ediyor. Tek bir işlem, tek bir imza. Kök neden: rsETH adaptörü, tek doğrulayıcı olarak @LayerZero_Labs ile requiredDVNCount: 1 olarak çalışıyordu. $1 milyarın üzerinde TVL'ye sahip bir protokol, köprüsünü tek bir hata noktası ile güvence altına almıştı. Para çekme işlemi klasikti. Saldırgan, tokenleri DEX likiditesine akıtmak yerine desteklenmeyen tokenleri teminat olarak kullandı: • Aave Ethereum: 52.834 WETH kredi çekildi • Aave Arbitrum: 29.782 WETH + 821 wstETH • Donma öncesi Compound V3 ve Euler'de daha küçük pozisyonlar Toplam kredi çekilen miktar: $200M–$236M, ilk geçişler Tornado Cash üzerinden 20 dakika içinde tamamlandı. KelpDAO, sözleşmeleri 46 dakika içinde durdurdu, ancak üçüncü taraf kredi vericilerde zaten açık olan pozisyonlar geri alınamaz. Aave, SparkLend, Fluid, Ethena, Yearn, Pendle, Beefy ve Lombard, saatler içinde tüm rsETH maruziyetlerini dondurdu. Yaklaşık 20 L2 üzerindeki tüm köprülenmiş rsETH artık yapısal olarak zarar görmüş durumda. ~$177M kötü borcu kim ödüyor: Ethereum ve Arbitrum'daki Aave Umbrella WETH staker'ları. Bu, Umbrella'nın ilk gerçek para cezası olayı — otomatik, oransal, yönetimsel oylama olmadan. Birleştirilmiş kasalar ~$260M TVL tutarında, bu da ceza oranını %60–70'e çıkarıyor. aWETH üzerinde birkaç ek puan kazanan staker'lar, pozisyonlarının üçte ikisini bir gece içinde kaybedecekler. Köprülenmiş rsETH sahipleri ise KelpDAO'nun ana ağ rsETH'sini bütünlükte tutması nedeniyle ikinci seviye zararla %15–20 kayıpla karşı karşıya kalıyor. Ders tekrarlanıyor. Sözleşmeler çalışıyordu. EigenLayer sorunsuzdu. LayerZero protokolü sorunsuzdu. Sorun yapılandırmada vardı — denetçilerin incelemeyeceği katman. Bir köprülenmiş LRT'yi ana ağ versiyonuyla 1:1 olarak kabul etmeden önce, kaç DVN'nin onu güvence altına aldığını kontrol edin. Bu, getiri ticareti ile tam kayıp arasındaki farktır. Harika rapor: @defiprime 🔗 https://t.co/f20MPysRPm
Paylaş
Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir.
Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.