Vụ cướp lớn nhất DeFi: Hacker giả mạo tin nhắn cross-chain đánh cắp 2.92 triệu USD rsETH và chuyển rủi ro sang Aave
Nội dung này được dịch bởi AI
Tóm Tắt
BroadChain được biết, 09:30 ngày 19/4, theo TechFlow, vào ngày 18/4, kẻ tấn công đã đánh cắp khoảng 116.5 nghìn rsETH (trị giá 2.92 triệu USD) từ hợp đồng bridge của Kelp DAO bằng cách giả mạo tin nhắn cross-chain của LayerZero, sau đó thế chấp chúng vào Aave V3 để vay khoảng 2.36 triệu USD wETH. Cuộc tấn công này đã phơi bày rủi ro cấu trúc của mô hình dự trữ cross-chain bridge: dự trữ trên mainnet bị rút cạn khiến 18% tổng cung rsETH mất đi sự hỗ trợ cơ bản, có thể kích hoạt đợt rút tiền ồ ạt từ người nắm giữ trên L2. Cơ chế dự phòng Umbrella của Aave đối mặt với bài kiểm tra áp lực lớn đầu tiên, cần bù đắp khoản dự kiến 1.77
BroadChain được biết, vào 09:30 ngày 19 tháng 4, theo TechFlow, vào ngày 18 tháng 4, kẻ tấn công đã đánh cắp khoảng 116,500 rsETH (trị giá 292 triệu USD) từ hợp đồng cầu nối của Kelp DAO bằng cách giả mạo tin nhắn cross-chain của LayerZero, sau đó thế chấp chúng vào Aave V3 để vay khoảng 236 triệu USD wETH. Cuộc tấn công này đã phơi bày rủi ro cấu trúc của mô hình dự trữ cầu nối cross-chain: dự trữ trên mainnet bị rút cạn khiến 18% tổng lượng rsETH mất đi sự hỗ trợ cơ bản, có thể dẫn đến việc người nắm giữ L2 rút vốn ồ ạt. Cơ chế dự phòng Umbrella của Aave đang đối mặt với bài kiểm tra áp lực lớn đầu tiên, cần bù đắp khoản nợ xấu dự kiến 177 triệu USD bằng tài sản thế chấp. Sự việc đã gây ra phản ứng dây chuyền, nhiều giao thức như Aave, SparkLend đã đóng băng thị trường rsETH. Điều này làm nổi bật rủi ro lồng ghép nhiều lớp của token tái thế chấp thanh khoản (LRT) khi được sử dụng làm tài sản thế chấp, đồng thời cho thấy khả năng kết hợp (composability) của DeFi, trong khi khuếch đại hiệu ứng mạng, cũng mở rộng mặt tấn công.