Original | Odaily Planet Daily(@OdailyChina)
Autor|Azuma(@azuma_eth)
El 19 de abril, hora de Pekín, la seguridad de DeFi sufrió otro duro golpe.
Los datos on-chain muestran que alrededor de las 1:35 de esta mañana, el contrato de puente rsETH del segundo protocolo de staking líquido más grande, Kelp DAO, basado en LayerZero, fue presuntamente explotado por hackers, con una pérdida de 116,500 rsETH, valorados en aproximadamente 292 millones de dólares.
Rastreando más los registros on-chain, la dirección del atacante recibió fondos iniciales de 1 ETH del protocolo de mezcla Tornado Cash aproximadamente 10 horas antes del incidente. Posteriormente, esta dirección llamó a la función lzReceive en el contrato LayerZero EndpointV2, lo que desencadenó el contrato de puente de Kelp, transfiriendo 116,500 rsETH a otra dirección del atacante.
Aproximadamente 2 horas y media después del incidente, Kelp DAO confirmó oficialmente en X que sufrió un ataque: "Hoy temprano, detectamos actividad sospechosa de cross-chain que involucra a rsETH. Durante la investigación, hemos suspendido los contratos de rsETH en la mainnet y múltiples Layer2. Nuestros auditores están colaborando con expertos en seguridad de LayerZero y Unichain, siguiendo de cerca el asunto. Les informaremos sobre las novedades, por favor sigan nuestros canales oficiales."
Después del incidente, varios proyectos DeFi y agencias de seguridad analizaron la causa. El análisis de D2 Finance fue citado múltiples veces en la comunidad: LayerZero Scan marcó el extremo de origen como Kelp DAO, lo que significa que el mensaje provenía del contrato legítimo del extremo desplegado por Kelp, y esta ruta ya tenía 308 registros de nonce de mensajes. Por lo tanto, la causa fundamental de este ataque fue la "compromiso de la clave privada de la cadena de origen".
El desarrollador de TinyHumans AI, Steven Enamakel, añadió que este contrato estaba asegurado solo por un conjunto de verificadores (DVN) de 1/1, lo que significa que basta con que un verificador envíe una transacción errónea para causar un problema.
El hacker utilizó Aave para escapar, presuntamente causando deuda incobrable
Dado que la liquidez de trading de rsETH es limitada, la estrategia de escape elegida por el hacker fue utilizar protocolos de préstamo como Aave, depositando rsETH como colateral y tomando prestado wETH, que tiene mejor liquidez de trading.
El monitoreo de PeckShield Alert mostró que, hasta las 4:30 de esta mañana, la dirección del hacker había depositado los rsETH robados en protocolos de préstamo como Aave V3, Compound V3 y Euler, y había tomado prestado una gran cantidad de WETH, con una deuda total que supera los 236 millones de dólares — solo la deuda en la plataforma Aave ascendía a 196 millones de dólares, en Compound 39.4 millones, y en Euler solo 840,000 dólares.
Después del incidente, Aave congeló inmediatamente el mercado de rsETH en Aave V3 y V4. El equipo luego publicó una declaración oficial en X diciendo: "Los contratos de Aave no fueron atacados, este ataque está relacionado con rsETH. La congelación de rsETH es para evitar nuevos depósitos y préstamos colateralizados con rsETH mientras evaluamos la situación. Estamos revisando la información de los préstamos de rsETH en Aave que ocurrieron después del ataque y compartiremos más detalles lo antes posible."
Poco después de la declaración inicial, Aave actualizó la publicación, añadiendo al final: "Si el protocolo acumula deuda incobrable debido a este incidente, exploraremos vías para cubrir el déficit."
Al momento de publicar, no está claro el monto específico de la deuda incobrable causada por este incidente.
El director de estrategia de Spark, competidor directo de Aave, monetsupply.eth, declaró que si rsETH sufre un descuento del 19% (el monto robado representa el 19% del suministro total de rsETH), Aave podría generar más de 100 millones de dólares en deuda incobrable, debido a los préstamos circulares altamente apalancados.
Sin embargo, Marc Zeller, fundador de Aave Chan Initiative (ACI), un grupo de governance representativo del ecosistema Aave (quien anunció que se retirará de Aave en julio debido a desacuerdos de governance), dio una opinión diferente. Zeller, al inicio del evento, sugirió a los usuarios que retiraran WETH de Aave V3 lo antes posible para evitar pérdidas, y confirmó que los mercados de USDC y USDT en Aave no se vieron afectados. En respuesta a la especulación de otro usuario sobre que la deuda incobrable podría alcanzar cientos de millones, comentó: "Muy por debajo de esa cifra."
Pero Marc Zeller también mencionó que ahora es el momento de probar Umbrella en un entorno de producción real. Umbrella es el módulo de seguridad automático de Aave, básicamente un fondo para hacer frente a deudas incobrables. Los usuarios pueden depositar activos en él para obtener incentivos más altos, pero cuando el protocolo tiene deuda incobrable, este fondo también debe asumir las potenciales pérdidas.
Los datos del protocolo Aave muestran que actualmente Umbrella tiene aproximadamente 50 millones de dólares en WETH que podrían usarse para cubrir la potencial deuda incobrable de este incidente, pero aún no está claro si será suficiente para llenar el vacío.
Como resultado de este evento, AAVE cayó casi un 10% a corto plazo, cotizándose a 104.6 USDT al momento de publicar.
Otro evento de seguridad de cientos de millones en abril
Este no es el primer evento de seguridad de gran magnitud ocurrido este mes.
Ya el 1 de abril, el protocolo de trading de derivados Drift Protocol, del ecosistema Solana, fue atacado, con pérdidas de hasta 280 millones de dólares (ver 《¿Broma del día de los inocentes? Drift Protocol hackeado por más de 280 millones de dólares, posiblemente el segundo mayor robo DeFi en Solana》).
Posteriormente, Drift Protocol atribuyó directamente el robo a "hackers norcoreanos", pero afortunadamente, instituciones como Tether se comprometieron a inyectar 147.5 millones de dólares para compensar a los usuarios, lo que les da cierta esperanza de reclamación.
Tan solo unas semanas después, estalla otro evento de hacking de mayor escala, ¿cómo se resolverá esta vez?
¿Queda algún lugar seguro en DeFi?
Los problemas de seguridad en DeFi están empeorando.
Por un lado, hay eventos de hacking continuos, por otro, las amenazas persistentes de seguridad que traen AI como Mythos (ver 《Entrevista de Odaily con Yu Xian: ¿Cómo afecta la fuga del nuevo modelo nuclear de Anthropic a la ofensiva y defensa de la seguridad cripto?》). Para los usuarios de DeFi, la medida anterior era concentrar los fondos en protocolos principales con amplia auditoría y buena reputación de marca, pero ahora, incluso protocolos de primer nivel como Aave, que los usuarios subconscientemente consideraban extremadamente difíciles de tener problemas, se han visto indirectamente afectados, ¿a dónde pueden trasladar sus fondos los usuarios?
En lo personal, actualmente no recomendaría dejar grandes cantidades de fondos on-chain. Si realmente existe la necesidad, por favor asegúrese de diversificar y aislar las posiciones.
Al momento de publicar, muchos detalles sobre este evento aún no están claros, Odaily continuará siguiendo el desarrollo del evento, manténganse atentos.
