一夜之间2.92亿美元蒸发
4月19日凌晨1点35分的北京时间时刻,第二大具规模的流动性质押协议Kelp DAO遭受重大黑客袭击行动。链上数据呈现出相关情况,攻击者借助rsETH桥接合约存在的漏洞,盗走价值约2.92亿美元的加密资产这一财物。这属于本月发生的第二起涉及大额金额的安全事件情形,距离4月1日Drift Protocol被盗2.8亿美元仅仅过去了18天时间。
攻击者于事发前10小时,自混币协议Tornado Cash那儿收到1 ETH当作初始资金,而后调用某合约之上的特定函数,触发了Kelp的桥接合约,把大量rsETH转移至另一个地址。事发之后约2个半小时,Kelp DAO官方于X平台确认了攻击,且宣布暂停主网以及多个链上的rsETH合约。
攻击根源锁定私钥泄露
于社区里边多次出现而被引用的是D2 Finance的分析,按照LayerZero Scan所做的标记来看,被标记成Kelp DAO自身合法去部署的对端合约的是攻击消息的来源端,并且在该路径之上以前就已经存在着308条消息nonce记录,这就表明攻击不是源于外部的伪造情况,而是因为Kelp DAO源链私钥被攻破了。
进而的地,AI该项开发者0xngmi又做了补充,其所指的那个合约,单单是靠一个呈现为1/1状态的验证者组成的集合去保障安全的。而这其中的这种单点验证机制,是存在着极大隐患的,只要这个验证者发出了一笔错误的交易,那就足够引发灾难性后果的。并且,这起事件又一次将DeFi项目里权限管理方面的薄弱环节给暴露出来了。
黑客借道Aave套现出逃
因为rsETH自身的交易流动性存有局限,黑客没办法直接进行大量抛售。攻击者所挑选的出逃策略乃是借助Aave等借贷协议:先是把盗取的rsETH进行存入,接着借出交易流动性更佳的WETH。截止到今晨4点30分,黑客地址已把rsETH分散存入多个平台。
详细地去说,有黑客,在Aave V3这个借贷协议里,存入了rsETH,还在Aave V4这个借贷协议中,存入了rsETH,又在Spark V3这个借贷协议中,存入了rsETH,同时也在Euler这个借贷协议中,存入了rsETH ,并且于这些借贷协议中,借出了数量众多的WETH ,而债务的总计金额超过了2.36亿美元。其中,仅仅是Aave这一个平台的债务,就高达1.96亿美元,Spark平台的债务是3940万美元,Euler平台的债务只有84万美元。黑客借助这些操作,成功地把赃款转化成了更易于转移的资产。
Aave紧急冻结市场应对危机
事情发生之后,Aave很快就对V3以及V4版本之上的rsETH市场实施了冻结。该团队于X平台发布声明着重指出,Aave合约自身并没有遭受攻击,这次事件仅仅和rsETH存在关联。冻结市场的意图旨在于评估具体情况的阶段对新的rsETH存款以及抵押借款予以阻拦。
Aave接着更新声明,额外表明要是协议因这一事件积累坏账,就会去探寻弥补赤字的办法。到发文时之际,究竟具体坏账数额并不清楚。因这一事件受到影响,AAVE代币短期内大幅下跌接近10%,暂且报价为104.6 USDT。投资者对于头部借贷协议的安全性也生出了疑虑。
坏账规模引发激烈争论
Spark战略主管0xsteph.eth进行分析声称,倘若rsETH出现百分之十九的折价情况,鉴于存在着处于高杠杆状态的循环借贷现象,Aave有可能产生超出一亿美元的坏账。被盗取的rsETH占据其总供应量的百分之十九,这样的比例着实是令人感到担忧的。然而,Aave生态治理代表Marc Zeller给出了不一样的看法。
Marc Zeller证实,Aave平台上的USDC以及USDT市场未受影响,在回应有关坏账或许上亿的揣测之际,称“远比该数值小”。他还提及,当下已然到了,在真实生产环境里对Umbrella予以检验的时候了。这可是Aave的自动安全模块,等同于应对坏账的资金池,当前存有大约5000万美元的WETH可供使用,然而能不能填上漏洞当前依旧是个未知数。
用户资金还能往哪里放
本月第一起巨额安全事件不是这起。4月1日,Solana生态衍生品交易协议Drift Protocol遭到攻击,损失达2.8亿美元。事后该协议把责任推给“朝鲜黑客”,不过凭借Wintermute等机构承诺注入1.475亿美元用于赔付,用户起码看到了索赔的希望。
一边存在着持续不停的黑客事件,另一边有着AI技术带来的持续的安全威胁。之前DeFi用户的应对办法,是把资金朝着审计充分、品牌信誉比较好的头部协议聚集。但现在就连Aave这种散户潜意识里极不容易出问题的顶级协议也间接受到影响,用户还能将资金转移到哪里去呢?就个人来讲,当下不建议用户把大量资金留在链上,一定要做好仓位分散和隔离。
你认为DeFi用户应当怎样去保护自身的资产安全呢,欢迎于评论区之中分享你的看法,同时也不要忘记点赞转发从而让更多的人能够看到这篇警示文章。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
