@dcfgod має рацію! Форензика експлуатації rsETH. Живе на ланцюзі. 1/ Гаманець атакуючого: 0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF Лістинг поставок Aave V3, один гаманець: 1 → 400 → 5 000 → 20 000 → 27 999 rsETH. Класичний тест-і-масштаб. Проба з 1 токеном, збільшення кожного разу, коли попередній вичерпується. 53 400 rsETH з цього гаманця. ~$134 млн. Загальна кластерна сума: ~116 500 rsETH. ~$290 млн. 2/ Резерв ETH Aave V3, живий: Поставлено: 2,71 млн WETH ($6,37 млрд) Позичено: 2,71 млн WETH ($6,37 млрд) Використання: 100% APY поставки: 7,36% APY позики: 8,71% Це й є банківський панічний відбіг. Поставники WETH заблоковані. Виведення заборонені, як першим виявив @Marczeller. 3/ Механізм. Атакуючий вивів rsETH (вектор мосту OFT, за початковими повідомленнями). Поставив його як забезпечення на Aave V3 мейннеті. Позичив максимальну кількість WETH до порогу ліквідації. Пішов. Kelp призупинив викуп. Ліквідність rsETH на вторинному ринку зруйнована. Оракул Aave все ще фіксує ціну близько до паритету. Ліквідатори не можуть закрити позицію за поточною ціною. Розрив стає непогашеним боргом у резерві WETH. 4/ Ланцюжок втрат. a. Umbrella. Перший живий стрес-тест заміни Safety Module на Q4 2025. Чи зможе він повністю зменшити баланси aWETH стейкерів, щоб покрити дефіцит? b. Залишкова знижка розподіляється пропорційно серед залишкових постачальників WETH. c. Утримувачі rsETH на Kelp мейннеті залишаються цілими. Нативне ETH-забезпечення не торкане, обігова кількість не змінена. Це не експлуатація mint Kelp. Це крадіжка через міст, яка перетворилася на непогашений борг Aave через миттєвий вивід. 5/ Примітивний урок. Лістинг LRT або будь-якого мостового деривативу як забезпечення означає гарантію всього верхнього стеку залежностей: - Конфігурація та безпека мосту (@LayerZero_Core OFT тут) - Дозволи на mint та burn - Оракульові дані та механізми викупу - Контракти з комісіями та логіка обгорток Будь-яка одинична точка невдачі у верхньому стеку стає непогашеним боргом WETH у нижньому стеку. @StaniKulechov, це проблема повноважень щодо лістингу, а не проблема токена. Якщо стек не може бути повністю оцінений та симульований — не лістингуйте його.
Поділитися
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.