Під час вихідних було здійснено експлойт на суму близько $292 мільйонів, що потрясло криптоіндустрію, виявивши вразливості в інфраструктурі децентралізованих фінансів (DeFi) і викликавши занепокоєння щодо наслідків для протоколів позичання.
Хоча розслідування все ще тривають, ранній аналіз свідчить, що атака була спрямована на токен rsETH від Kelp — версію ефіру (ETH) з дохідністю — та механізм, використовуваний для переміщення активів між блокчейнами.
Зловмисник, схоже, маніпулював цією системою, щоб створити великі суми токенів без належного забезпечення, а потім швидко використав їх як забезпечення, щоб позичити та вивести реальні активи з ринків позичання, переважно з Aave AAVE$90.11, найбільшого децентралізованого криптовалютного позичальника.
Цей інцидент — останній удар для DeFi, що відбувся лише через кілька тижнів після витоку на $285 мільйонів з протоколу Solana-based protocol Drift, що додатково підриває довіру інвесторів до сектору криптовалют, вартість якого становить майже $90 мільярдів.
На високому рівні експлойт мав на меті компонент мосту LayerZero — інфраструктурний елемент, який дозволяє переміщувати активи між різними блокчейнами, сказав Чарльз Гільме, технічний директор виробника апаратних гаманців Ledger, CoinDesk у зауваженні.
Мости зазвичай працюють шляхом блокування активів на одному ланцюзі та випуску еквівалентних токенів на іншому. Цей процес залежить від довіреної сутності — часто називаної оракулом або валідатором — для підтвердження депозитів.
У цьому випадку Kelp ефективно виступав у ролі цього перевіряючого. За словами Гіллеме, система базувалася на налаштуванні з одним підписувачем, що означало, що лише один суб’єкт міг затверджувати будь-які транзакції.
«Здається, атакувач зміг підписати повідомлення… що дозволило йому випустити велику кількість rsETH», — сказав він. Він додав, що залишається невідомим, як цей доступ був отриманий.
Майкл Егоров, засновник Curve Finance, вказав на ту саму слабкість у конфігурації системи.
Речі можуть відбуватися, коли ви довіряєте одній єдиній стороні — хто б це не був.
Ця конфігурація дозволила атакуючому ефективно створювати токени без забезпечення, хоча відповідні активи не були заблоковані на вихідному ланцюзі.
Після створення токени були швидко задіяні. Зловмисник «негайно внес їх у протоколи позичання, здебільшого Aave, щоб позичити реальний ETH під них», пояснив Жильме.
Цей маневр змістив проблему з одного експлойту на більш широкий ринковий питання. Платформи DeFi для позичання зараз залишилися зі залогом, який може бути важко розгорнути, тоді як цінні та ліквідні активи вже вичерпано.
«Aave залишився з rsETH, який неможливо реально продати, та maxborrowed ETH, тому ніхто не може вивести ETH», — сказав Егоров із Curve.
Як наслідок, Aave та інші кредитні протоколи можуть мати сотні мільйонів доларів у сумнівному забезпеченні та просрочених боргах, попередив він, що викликає занепокоєння щодо потенційної динаміки «банкового паніки», коли користувачі поспішають здійснювати виведення коштів.
Aave зафіксувала зниження активів на протоколі приблизно на $6 млрд, оскільки користувачі вивели свої активи після інциденту. токен, пов’язаний з протоколом, впав приблизно на 15% за останні 24 години торгів.
Залишаються ключові питання щодо того, як була скомпрометована нода. Система залежала від офіційної ноди LayerZero, що викликає невизначеність щодо того, чи була вона взламана, неправильно налаштована чи введена в оману.
«Чи його взломали? Чи його обманули? Ми не знаємо», — сказав Єгоров.
Тотожність нападника також невідома, хоча Жильме вважає, що масштаб атаки свідчить про досвідченого учасника.
«Звісно, не якісь скрипт-кідді», — сказав він.
Поза негайними втратами, цей інцидент ще раз нагадує, що зі зростанням взаємопов’язаності DeFi, невдачі в одному рівні швидко поширюються по всій системі.
Егоров стверджував, що моделі позичання без ізоляції, де активи ділять ризик між пулами, посилюють вплив таких подій.
Він також зазначив на недоліки в процесі підключення нових активів до платформ позичання, сказавши, що такі конфігурації, як 1 з 1 верифікаторів Kelp, мали б бути виявлені раніше.
Однак Єгоров сказав, що є і позитивний аспект. «Криптовалюта — це жорстке середовище, яке жодний банк не вижив би — а ми працюємо саме з цим», — сказав він. «Я вважаю, що DeFi вивчить уроки цього інциденту і стане сильнішими, ніж раніше».
Проте, навіть коли такі інциденти призводять до оновлень і переробки протоколів, вони також підірвають довіру інвесторів до ширшого сектору DeFi.
«В цілому, довіра до протоколів DeFi підірвана такими подіями», — сказав Жильме.
І 2026 рік, найімовірніше, знову стане найгіршим роком щодо хаків," — додав він.
Дізнатися більше: 'DeFi мертвий': крипто-спільнота шукає вихід після найбільшого хаку цього року, який виявив ризики поширення