Головна
Новини
Детальніше

116 500 rsETH вкрадено під час хакерської атаки на Aave через експлойт LayerZero

iconMetaEra
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$2 363,821,95%
This is the logo of the coin.
AAVE
$92,7791,02%
AI summary iconКороткий зміст

expand icon
Експлойт DeFi, спрямований на крос-чейн протокол LayerZero, призвів до хакерського нападу, в результаті якого було створено 116 500 rsETH, які використовувалися як забезпечення для позичання WETH на Aave. Цей інцидент спричинив кризу просроченої заборгованості, що спонукало Aave заморозити ринки на Ethereum, Arbitrum, Base, Mantle та Linea. Атака підкреслила ризики, пов’язані з крос-чейн мостами та LRT, тоді як ізольована модель ринку Morpho виявилася більш стійкою. Fluid Protocol відповів запуском програми викупу aWETH для користувачів Aave.
Ліквідність усього ринку позик миттєво зупинилася.

Автор статті, джерело: 0x9999in1, ME News

Коротко

  • Якісно: найбільший чорний лебідь року 2026. Зловмисник без витрат підробив повідомлення LayerZero через мост, отримавши 116 500 rsETH з нізвідки. Це не просто вразливість у коді, а повна крах механізму довіри між ланцюгами.
  • Ланцюгова засідка: метою хакерів є не rsETH, а справжні гроші в Aave. Використовуючи «повітряні сертифікати» як забезпечення, вони позичають величезну кількість WETH. Залишаючи Aave, величезну діру без забезпечення.
  • Архітектурна перевірка: під тиском тестування на стійкість проявляється справжня сутність протоколу. «Повністю ізольовані ринки» Morpho без проблем пройшли тест з мінімальним ризиком у лише 1 мільйон доларів США; тоді як «глобальна ліквідність» Aave була змушена повністю заморозити операції, що розкриває системну хрупкість.
  • Використання кризи для вигоди та самопорятунок: Fluid швидко запустив протокол викупу aWETH, точно влучивши в користувачів Aave, які постраждали, продемонструвавши класичний приклад атаки ліквідності-вампіра.
  • Глибинна рефлексія: Поєднання LRT (ре-квітінг ліквідності) та мостів між блокчейнами (OFT) створює «отруйні активи» у світі DeFi. Чим вище ти збираєш Лего, тим сильніше він розбивається. Після кризи перебудова стандартів міжблокчейн-мостів стала необхідністю.

Жахливі вихідні: коли тривога рознеслася темною мережею

Капітал ніколи не спить. Хакери теж.

У суботу мережа Ethereum, яка раніше працювала як точний верстат для друку грошей, тихо обробляла блоки. Але група дивних транзакцій миттєво розірвала цю спокійність. 116 500 rsETH. Це не мала сума. Це астрономічна цифра.

Ці гроші чийого? Це сировина користувачів Kelp DAO з реінвестування ліквідності.

Як це сталося? Бо протокол зв’язку моста LayerZero був “обманутий”.

Уявіть, що ви власник ломбарду. Хтось приходить з підробленим швейцарським банківським векселем і, не збентежившись, вивозить з вашого ломбарду тонну золота. Саме це сталося на вихідних. Хакери не ламали сейфи і не зламували базову математичну логіку смарт-контрактів. Вони зробили щось розумніше й смертельніше: підробили міжланцюгові повідомлення LayerZero.

Повідомлення говорить: «Я поклав гроші на той ланцюг, а ти надай мені позику на цьому ланцюзі».

Мостовий контракт вірить. Він покірно відкрив двері.

116 500 rsETH потрапили до кишені хакера. Це найбільший DeFi-хакінг у 2026 році на даний момент. Але зверніть увагу: це лише початок кошмару. Хакеру потрібні не rsETH — ці деривативні токени мають сильну зв’язку з бізнесом. Йому потрібна готівка. Йому потрібен WETH.

Тож об’єктив мисливської рушниці спрямовано на найбільший центральний банк світу DeFi — Aave.

Смертельна серія маневрів: Aave та «привидові забезпечення»

Логічний ланцюжок хакерів жахливо чіткий.

Перший крок: створення повітря. За допомогою вразливості моста між блокчейнами було вигадано rsETH.

Другий крок: перетворити повітря на готівку. Ці «привиди rsETH», які не мають під собою жодних активів, відразу ж покладіть до Aave.

Третій крок: відкачайте кров. За поручення rsETH активно позичайте WETH.

Смарт-контракти Aave розуміють математику, але не розуміють людей і не знають про підводні камені міжланцюгових мостів. У очах оракула Aave ціна rsETH все ще прив’язана до Ethereum. Коефіцієнт забезпечення в нормі. Видавати кредити. Видавати кредити. Продовжувати видавати кредити.

Хруст. Будівля зруйнується.

Коли Kelp DAO та LayerZero зрозуміли, що відбувається, було вже пізно. У скарбниці Aave нагромадилися ці безцінні «привиди rsETH». А ті справжні WETH, що належали користувачам, були викрадені хакерами.

Що це таке? У традиційній фінансовій системі це називається системними неплатежами. У DeFi це початок смертельного спіралю.

Реакція Aave не може бути названа повільною. Заморожено. Повністю заморожено. Ethereum, Arbitrum, Base, Mantle, Linea. Всі резерви WETH і активи rsETH на всіх вплинутих ринках, як версії V3, так і V4, були зупинені. Офіційне заявлення Aave про те, що «rsETH на головній мережі має повну забезпеченість», зараз звучить порожньо. rsETH на головній мережі дійсно має забезпечення, але що з rsETH, створеними через вразливість у міжланцюговому режимі? Хто заповнить дірки, залишені виведеним WETH?

Aave потрапив у стан «кота Шредінгера» з невиплатами. До повного аудиту та відновлення коштів ніхто не знає, наскільки великий цей чорний дір. Заморозка Aave, як основний кубик DeFi, означає миттєвий інфаркт ліквідності на всьому ринку позик.

Ізольовані пули та ланцюгові міни: різноманітність DeFi

Коли відступає приплив, ви не лише бачите, хто плаває голий, а й хто збудував корабель із водонепроникними відсіками.

Подія rsETH подібна до глибоководної бомби, яка розкрила колосальну різницю в архітектурі ризик-менеджменту DeFi-протоколів. Реакція кожного протоколу на раптово з’явившись отруйний актив у межах мережі стала жорстокою історією про виживання у фінансах.

Давайте розкриємо ці протоколи за допомогою таблиці.

Зрозуміли? Ось правила гри для другої половини DeFi.

Перемога Morpho: чому Morpho може стверджувати, що вона безпечна? Тому що вона не використовує «спільний котел». Модель Aave полягає в тому, щоб зібрати всі кошти в один великий пул — якщо один актив зазнає краху, усі кошти в пулі можуть бути використані для покриття просрочених боргів. Morpho ж застосовує «ізольоване ринкове проектування» (Isolated Markets). Ти отруйний? Ти застряг у своєму маленькому пулі, а моя основна дорога залишається вільною. Відкриття в розмірі лише 1 мільйона доларів США для Morpho — це навіть не поріз. Це — пониження рівня конкуренції завдяки конструктивному дизайну.

Фліюдська стратегія: коли всі протоколи захищаються, Фліюд витягнув ніж. Вони оголосили про запуск протоколу викупу aWETH. Що це за хід? Це сіль у рану Aave, водночас засмоктування крові. Ваш ETH у Aave заморожений і не доступний? Не проблема — Фліюд надає вам акцепт. Перекладіть борг мені, і я миттєво обміняю його на wstETH або weETH, відновивши вашу ліквідність. Початковий обсяг у 1 мільярд доларів США — це прямий заклик користувачам Aave: «Приєднуйтесь до нас!» Це чиста комерційна війна — холодна, ефективна, точна в ціль.

Резервна лінія: Реакція Reserve продемонструвала чарівність структурованих фінансів. Навіть у надзвичайних умовах власники DTF майже не постраждали. Чому? Бо вони спроектували RSR-стейкери як «капітал першої втрати». Це подібно до бампера фінансової системи: при зіткненні спочатку ламається бампер, захищаючи кабіну.

Щодо заяв про протоколи Polygon, EtherFi, Maple, це більше PR-дії «всі в порядку», спрямовані на заспокоєння постачальників ліквідності (LP) у їхніх екосистемах.

Джерело отрути: LRT-ліані та смертельна зустріч між крос-чейн містами

Якщо ти сприймаєш цю подію як звичайну хакерську атаку, ти надто наївний. Сутність цього — необхідний крах, викликаний «перефінансуванням».

Давайте зосередимо увагу на головному герое події: rsETH.

Що таке rsETH? Це токен повторного стейкінгу з ліквідністю (LRT), випущений Kelp DAO.

Це саме по собі — лялька-матріoshка. Користувачі стейкують ETH у мережі Ethereum і отримують LST (наприклад, stETH). Потім вони стейкують LST у протоколах, таких як EigenLayer, і отримують LRT (наприклад, rsETH).

Навіщо так муторити? Щоб отримати прибуток. Щоб вичавити останні відсотки з Ethereum.

Це само по собі не є помилкою. Капітал прагне до прибутку — це природна риса. Але проблема виникає на наступному етапі: міжланцюговість.

З урахуванням застою в DeFi-багатоланцюговій екосистемі, Kelp DAO інтегрував стандарт OFT (уніфікований мультиланцюговий токен) від LayerZero, щоб забезпечити обіг rsETH на різних L2 (других шарах).

Тепер добре. Безпека активів, які раніше захищалися строгим консенсусом основної мережі Ethereum, миттєво знизилася до рівня безпеки мостів між мережами.

Ви це помітили? На довгому ланцюзі плечей достатньо одного ланцюга, щоб вся система руйнувалася.

Мост між блокчейнами завжди був ахіллесовою п’ятою DeFi. Від великої крадіжки Ronin у 2022 році (625 мільйонів доларів США) до PolyNetwork і Wormhole. Історія неодноразово доводила, що передача рахунків активів на рівні десятків мільярдів між двома неповірними блокчейнами через групу сторонніх вузлів (релеї/оракули) — надзвичайно небезпечна справа.

Офіційний представник LayerZero стверджує, що «повністю розуміє подію з уразливістю і активно працює з KelpDAO над її виправленням». Але цей аргумент ми чуємо надто часто. Виправлення однієї уразливості неодмінно породжує наступну через складність архітектури. Коли міжланцюгові повідомлення можна підробити, стандарт OFT перетворюється на порожній чек, який можна заповнювати на власний смак.

Фінал: хто заплатить?

Тепер уже все розсипалося.

116 500 rsETH у відсутності, хто їх заповнить?

Чи фінансується це зі скарбниці Kelp DAO? Чи LayerZero працює з збитками, щоб привернути увагу? Чи власники токенів управління Aave змушені розмивати свої права, щоб покрити безнадійні борги? Або, нарешті, збитки понесуть невинні звичайні користувачі, які залишили свої кошти на пулі, спокушених кількома відсотками APY?

Ніхто не хоче бути обманутим. Але в кінці гри хтось завжди буде збитий.

Що залишила нам ця буря?

Він проголошує це надзвичайно жорстокою мовою: у темному лісі DeFi немає нічого «занадто великого, щоб провалитися». Глобальна модель ліквідності Aave виявилася надто важкою перед екстремальним хвостовим ризиком; і, можливо, ідея ізольованих пулів Morpho є правильним рішенням для наступного циклу.

Це також зняло завісу з ліквіднісного ре-стейкінгу (LRT). Ми були захоплені складанням лего та вигодами, створеними з повітря, ігноруючи те, що основа вже вибухає. Коли LRT із міжланцюговим ризиком були дозволені як забезпечення для провідних протоколів позичання, ця бомба зі сповільненим механізмом вже була закладена.

Під сонцем немає нічого нового. Код — це закон, але закон завжди має лазійки.

Коли ти розглядаєш цей багатошаровий фінансовий оболонку, ти побачиш, що все це — нескінченна гра у кошечку-мишку між людською жадібністю та недосконалістю технологій.

Наступний раунд вже роздає карти. Ти ще за столом?

Джерело:

  1. Aave Governance Forum. (2026). "Оновлення щодо інциденту: заморожування ринку rsETH та оцінка непогашених боргів."
  2. Офіційний блог Fluid Protocol. (2026). «Представлення aWETH: відновлення ліквідності для кредиторів ETH».
  3. Morpho Labs Security Post. (2026). "Постмортем-аналіз: чому ізольовані ринки захистили Morpho від експлойту rsETH."
  4. LayerZero Communications. (2026). "Відповідь на експлойт Kelp DAO rsETH та оновлення безпеки OFT."
  5. Документація Reserve Protocol. (2026). «Розуміння капіталу першої втрати в механіці DTF».
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.