2.92 億美元 Kelp 攻擊暴露 DeFi 基礎設施漏洞

iconCoinDesk
分享
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary icon精華摘要

expand icon
一宗價值2.92億美元的DeFi攻擊事件影響了Kelp的rsETH代幣,暴露了DeFi基礎設施與真實資產(RWA)的弱點。攻擊者操控單一簽名者LayerZero橋樑,鑄造無Backing的rsETH,並在Aave上將其作為抵押品以提取ETH。Aave的總鎖倉價值(TVL)下跌60億美元,其代幣在24小時內下跌15%。專家警告,用戶撤資可能引發壞帳與銀行擠兌風險。

週末發生了一起約 $292 億美元 的攻擊事件,震動了加密貨幣行業,暴露了去中心化金融(DeFi)基礎設施的漏洞,並引發了對貸款協議連鎖效應的擔憂。

儘管調查仍在進行中,早期分析顯示,此次攻擊主要針對 Kelp 的 rsETH 代幣——一種產生收益的以太坊(ETH)版本——以及用於在區塊鏈之間轉移資產的機制。

攻擊者似乎操縱了該系統,在沒有足夠資產支持的情況下創建了大量代幣,然後迅速將這些代幣作為抵押品借入資金,並從借貸市場中抽走真實資產,主要針對最大的去中心化加密貨幣借貸平台 Aave AAVE$90.11

此事件是對去中心化金融的最新打擊,僅在約兩週前 Solana 基礎協議 Drift 遭遇 2.85 億美元的攻擊後發生,進一步削弱了投資者對近 900 億美元加密貨幣領域的信任。

總體而言,此次攻擊針對的是 LayerZero 橋接組件——這是一種讓資產能在不同區塊鏈之間移動的基礎設施,硬件錢包製造商 Ledger 的首席技術官 Charles Guillemet 在致 CoinDesk 的備註中表示。

橋樑通常透過在一個鏈上鎖定資產,並在另一個鏈上鑄造等值代幣來運作。這個過程依賴於一個受信任的實體——通常稱為或然子或驗證者——來確認充幣。

在這種情況下,Kelp 有效地擔任了該驗證者。根據 Guillemet 的說法,該系統依賴單一簽名者設置,意味著僅有一個實體可以批准任何交易。

他說:「看來攻擊者能夠簽署一條訊息……使他能夠鑄造大量 rsETH。」他補充說,目前仍不清楚該存取權限是如何獲得的。

Michael Egorov,Curve Finance 的創始人,指出該系統配置中的相同弱點。

當你信任單一當事人時,事情可能會發生——無論那是誰。

該設定允許攻擊者有效創建無資產抵押的代幣,即使源鏈上並未鎖定相應資產。

一旦鑄造完成,這些代幣便迅速被部署。Guillemet 解釋說:「攻擊者立即將它們存入借貸協議,主要是 Aave,以借入真正的 ETH。」

這一操作將問題從單一漏洞轉變為更廣泛的市場問題。DeFi 借貸平台現在面臨著難以解套的抵押品,而寶貴且流動性高的資產已遭抽乾。

Aave 剩下 rsETH,無法真正出售,且最大借出 ETH,因此沒有人能提幣,”Curve 的 Egorov 說。

他警告說,因此,Aave 及其他借貸協議可能持有數億美元的可疑抵押品和不良債務,引發用戶搶提幣所導致的潛在「銀行擠兌」動態的擔憂。

Aave 在事件發生後,用戶提取資產,導致協議上的資產減少約 $6 億。與該協議相關的 代幣 在過去 24 小時的交易中下跌了約 15%。

關於驗證節點如何被入侵,仍存在關鍵疑問。該系統依賴 LayerZero 的官方節點,這引發了對其是否被駭入、設定錯誤或被誤導的疑慮。

「是被駭客攻擊了嗎?還是被騙了?我們不知道,」葉戈羅夫說。

攻擊者的身份也未知,但吉勒梅說,此次攻擊的規模表明其背後是一個複雜的行為者。

「顯然不是什麼腳本小子,」他說。

除了即時損失外,此事件再次提醒我們,隨著去中心化金融日益相互關聯,某一層面的失敗可能迅速在系統中蔓延。

Egorov 認為,資產在不同資金池之間共享風險的非隔離借貸模式,會放大此類事件的影響。

他還指出,新資產上線借貸平台時存在不足,並表示 Kelp 的 1-of-1 驗證器設定應更早被發現問題。

然而,葉戈羅夫表示這其中仍有好處。「加密貨幣是一個嚴酷的環境,任何銀行都無法生存——但我們正在與之共事,」他說,「我認為去中心化金融將從這次事件中吸取教訓,變得比以往更強大。」

然而,即使此類事件促使協議升級和重新設計,它們也逐漸削弱投資者對整個去中心化金融領域的信心。

「總的來說,這類事件削弱了人們對 DeFi 協議的信任,」吉勒梅說。

他補充道:「而 2026 年很可能再次成為遭駭事件最嚴重的一年。」

了解更多: 'DeFi 已死':今年最大駭客事件曝光後,加密貨幣社群急忙應對連鎖風險

免責聲明:本頁面資訊可能來自第三方,不一定反映KuCoin的觀點或意見。本內容僅供一般參考之用,不構成任何形式的陳述或保證,也不應被解釋為財務或投資建議。 KuCoin 對任何錯誤或遺漏,或因使用該資訊而導致的任何結果不承擔任何責任。 虛擬資產投資可能存在風險。請您根據自身的財務狀況仔細評估產品的風險以及您的風險承受能力。如需了解更多信息,請參閱我們的使用條款風險披露