需要了解的:Kelp DAO的rsETH代币遭受了2.92亿美元的攻击,引发了广泛的流动性危机,导致包括Aave在内的主要借贷平台出现大量提款。开发者声称,黑客攻击源于LayerZero基础设施中配置错误的跨链验证设置,揭示了灵活的“模块化”安全性在没有强有力的最低标准时可能会产生的系统性风险。此次事件影响了大约18%的rsETH供应,并且在本月一系列大型DeFi黑客事件之后,加深了对该行业韧性的怀疑,并促使协议冻结市场并紧急审查其跨链配置。
Kelp DAO的2.92亿美元攻击引发了整个加密行业的反应,开发者和交易员警告说,此事件暴露了去中心化金融(DeFi)构建中更深层次的缺陷。
市场参与者分享的数据表明,立即的后果远远超出了被攻击的协议。
“rsETH的黑客行为导致所有借贷协议出现提款,即使在Solana和未受影响的协议上也是如此,”0xngmi在周日的一条帖子中指出,提到包括“Aave: -6,200m (-23%) 净流入”在内的巨大流出,以及Morpho、Sky和JupLend等平台小幅但显著的下降。rsETH是流动再质押协议Kelp DAO的再质押以太坊,是一种流动再质押代币(LRT),允许用户在其资产处于锁定质押状态时依然保持流动性,并赚取以太坊质押和再质押奖励。
这种压力迅速转变为更严重的情况。Josu San Martin的一篇广为传播的帖子描述了借贷市场内的级联流动性压力:“以太坊存款者无法提取以太坊,所以他们借稳定币来‘提款’资金……这是一场对AAVE的全面抢兑。”
尽管Aave的创始人Stani Kulechov表示攻击是外部的,协议的合约没有受到损害,但存款者却惊慌失措。锁定总值(或存款)从4月18日的264亿美元降至周日美国早晨接近200亿美元,根据DefiLlama的数据。AAVE代币在存款者争相在周末提取资金时也暴跌超过18%。
一个“案例研究”
攻击本身已经成为工程师和开发者关注的焦点。
几位开发者对早期关于问题源于核心基础设施的假设进行了反驳。“KelpDAO攻击(约2.9亿美元)不是LayerZero协议的错误。这是一个配置问题,也是每个有跨链代币的项目今天需要关注的案例研究,”一位技术分析的加密流浪者如此表示。
该线程详细说明了一个单一验证点如何使袭击得以实施。“在以太坊上,一个签名便导致了116,500个rsETH凭空而现,”帖子中说,描述了一个“[智能]合约没有被破坏。验证层被破坏了,”帖子声称。
其他人认为问题远比单一设置选择更深刻。
一位在X上使用“Fishy Catfish”作为用户名的评论者将其框定为设计缺陷,声称:“没有安全底线……一个配置可以是一个1/1的DVN,而你选择的那个DVN可以是由单个实体运行的单个节点。”在DeFi中,特别是在LayerZero V2中,DVN(去中心化验证者网络)是一个独立实体,负责验证和证明跨不同区块链网络发送的消息的真实性。本质上,DVN在源链和目标链之间验证消息哈希。
为了更明确地表达这一点,作者以现实世界进行比较:“想象一下,如果过山车制造商允许游乐园单独决定最低安全规格是什么。”本质上,作者只是想说,没有保护措施的灵活性可能会创造隐藏的风险。
帖文甚至声称这一设置是设计中的问题。“我个人认为这是一个有缺陷的设计。模块化安全是一个值得投资的设计空间,然而,安全的范围应该有一个相当强大的本地安全底线,然后允许*额外*的安全层叠加在其上,以便于更高价值的用例。”
‘DeFi已经死了’
并不仅仅是攻击的金额和复杂性引发了严格、恐慌的批评。这次攻击的规模加剧了人们的担忧。
大约116,500个rsETH,约占供应的18%,受到了影响。攻击者欺骗LayerZero的跨链消息层,让其相信另一个网络发送了有效的指令,这触发了Kelp的桥释放116,500个rsETH到攻击者控制的地址。
协议通过冻结市场和暂停功能做出了反应。Aave暂停了与rsETH的活动。Lido暂停了与该资产相关的存款。其他项目在情况发展中采取了类似步骤以限制风险。
除了技术争论,加密领域的情绪急剧转向消极。一篇帖子也许直接捕捉到了情绪变化:“DeFi已经死了……‘只用Aave’已经死了,”并补充说“加密时代已经结束”,并询问“如果你在读这个 - 你为什么还在加密领域?”
虽然这种反应听起来像是对过大的反应,但这种“膝跳反应”在大型攻击后并不罕见,但此事件的广度却显得格外突出。
此次攻击同时影响了跨链基础设施、再质押模型和借贷市场。这也紧跟着一系列最近的事件。这次黑客事件发生在DeFi一个异常恶劣的时期,尤其是这个月。基于Solana的永续协议Drift在4月1日被掏空了大约2.85亿美元,这次攻击后来与朝鲜相关的行动者有关,并且在此后的几周内,至少有十几个较小的协议也被黑客攻击,包括CoW Swap、Zerion、Rhea Finance和Silo Finance。
‘检查你的配置’
尽管有所有解释,问题仍然多于答案。
即使是LayerZero也仍在努力搞清楚攻击的所有细节。“我们完全意识到rsETH攻击,并且自事件发生以来与@KelpDAO团队进行了积极的补救,并继续监测。所有其他应用程序仍然安全,”它在X上的帖子中表示。“我们仍在与@_SEAL_Org以及其他方面识别根本原因。一旦我们掌握所有信息,将与@KelpDAO发布完整的事后分析。”
KelpDAO对此表示赞同。“今天早些时候,我们发现了涉及rsETH的可疑跨链活动。我们已暂停了主网和多个L2上的rsETH合约,同时进行调查。我们正在与@LayerZero_Core、@unichain、我们的审计员和顶级安全专家进行原因分析。我们会在了解更多信息后及时通知您。”
尽管如此,一些开发者在混乱中看到了更清晰的教训。
该攻击并不是依赖于破解加密或绕过智能合约。相反,它揭示了当系统依赖于层层假设时,会变得多么脆弱。
简单来说,工具按设计工作,而它们的配置却没有。
这种区别可能会影响接下来的事情。建设者们现在正在敦促项目审查其设置,特别是那些依赖于跨链消息的项目。
正如cryptogoblin直言不讳地说:“检查你的配置。保持安全。”
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
