@dcfgod haklı! rsETH istismarı forensik analizi. Canlı zincir üzerinde. 1/ Saldırgan cüzdanı: 0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF @aave V3 fonlama basamakları, bir cüzdan: 1 → 400 → 5.000 → 20.000 → 27.999 rsETH. Klasik test-ve-ölçeklendirme. İlk olarak 1 token ile test yap, her seferinde önceki seviye temizlendiğinde artır. Bu cüzdan tarafından 53.400 rsETH çekildi. ~134 milyon ABD Doları. Küme toplamı: ~116.500 rsETH. ~290 milyon ABD Doları. 2/ Aave V3 ETH rezervi, canlı: Verilen: 2,71 milyon WETH (6,37 milyar ABD Doları) Ödünç alınan: 2,71 milyon WETH (6,37 milyar ABD Doları) Kullanım oranı: %100 Fonlama APY: %7,36 Ödünç alma APY: %8,71 İşte banka koşturması. WETH verenler kilitlendi. @Marczeller tarafından ilk olarak belirtilen şekilde çekimler engellendi. 3/ Mekanizma. Saldırgan, rsETH’i (ilk raporlara göre OFT köprü vektörü) boşalttı. Aave V3 ana ağı üzerinde teminat olarak sundu. Likidasyon eşiğine kadar maksimum WETH ödünç aldı. Sonra ayrıldı. Kelp, tahvil edinmeyi durdurdu. İkincil rsETH likiditesi çöktü. Aave oraklari hâlâ pariteye yakın fiyatlandırmayı sürdürüyor. Likidatörler, bu pozisyonu fiyatlandırmaya göre kapatamıyor. Bu fark, WETH rezervinde kötü borç haline geliyor. 4/ Kayıp zinciri. a. Kapsayıcı. Q4 2025'te Güvenlik Modülü'nün yerini alacak ilk canlı stres testi. Bu, aWETH stake sahiplerini tamamen keserek açığı kapatır mı? b. Kalan WETH verenlere oransal olarak artan zarar akışı. c. Kelp ana ağı rsETH sahipleri korunmuş durumda. Yerel ETH teminatı dokunulmamış, dolaşımdaki arz değişmemiş. Bu bir Kelp basımı istismarı değil, anında nakit çıkışıyla Aave’de kötü borç haline gelen bir köprü hırsızlığı. 5/ Temel ders. Bir LRT veya herhangi bir köprülenmiş türevi teminat olarak listelemek, tüm öncül bağımlılık katmanlarını garanti altına almak anlamına gelir: - Köprü yapılandırması ve güvenliği (@LayerZero_Core OFT burada) - Basım ve yakma izinleri - Orak verileri ve tahvil alma mekanizmaları - Ücret sözleşmeleri ve sarmalama mantığı Öncüldeki herhangi bir tek noktada oluşabilecek hata, altta WETH kötü borcu olarak ortaya çıkar. @StaniKulechov, bu bir token sorunu değil, bir liste yetkisi sorunu. Eğer katman tamamen fiyatlandırılabilir ve simüle edilebilir değilse, listelemeyin.
Paylaş
Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir.
Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.