原创 | Odaily 星球日报(@OdailyChina)
作者|Azuma(@azuma_eth)
北京时间 4 月 19 日,DeFi 安全再遭重创。
链上数据显示,今晨 1:35 左右,第二大流动性质押协议 Kelp DAO 基于 LayerZero 的 rsETH 桥接合约疑似遭黑客利用,损失 116500 个 rsETH,价值约 2.92 亿美元。
继续追迹链上记录,攻击者地址在事发前大约 10 小时从混币协议 Tornado Cash 收到了 1 ETH 的初始资金,之后该地址调用了 LayerZero EndpointV2 合约上的 lzReceive 函数,此次调用触发了 Kelp 的桥接合约,将 116500 个 rsETH 转移到了另一个攻击者地址。
事发后大概 2 个半小时,Kelp DAO 官方于 X 确认了遭遇攻击:“今天早些时候,我们发现了涉及 rsETH 的可疑跨链活动。在调查期间,我们已暂停主网和多个 Layer2 上的 rsETH 合约。我们的审计人员正在与 LayerZero、Unichain 的安全专家合作,密切关注此事。后续我们将向你通报最新情况,请关注官方渠道。”
事发之后,各路 DeFi 项目及安全机构均对事件原因进行了分析。D2 Finance 在分析在社区内被多次引用 —— LayerZero Scan 将该来源对端标记为 Kelp DAO,这意味着该消息来自 Kelp 自身合法部署的对端合约,且该路径此前已经有 308 条消息 nonce 记录。因此,本次攻击的根本原因在于“源链私钥被攻破”。
TinyHumans AI 开发者 Steven Enamakel 则补充表示,该合约仅由一个 1/1 的验证者集合(DVN)来保障,这意味着只要验证者发出一笔错误交易,就足以引发问题。
黑客借路 Aave 出逃,疑似已造成坏账
由于 rsETH 本身的交易流动性有限,黑客选择的出逃策略为借路 Aave 等借贷协议,抵押 rsETH 并借出交易流动性更好的 wETH。
PeckShield Alert 监测显示,截至今晨 4:30,黑客地址已将盗取的 rsETH 存入 Aave V3、Compound V3、Euler 等借贷协议,并借出了大量 WETH,债务总额超过 2.36 亿美元 —— 其中仅 Aave 一家平台的债务便高达 1.96 亿美元,Compound 3940 万美元,Euler 仅 84 万美元。
事发之后,Aave 随即冻结了 Aave V3 和 V4 上的 rsETH 市场,该团队随后于 X 官方发布声明表示:“Aave 的合约并未遭到攻击,此次攻击系与 rsETH 相关。冻结 rsETH 是为了在评估情况期间阻止新的 rsETH 存款和抵押借款。我们正在审查攻击发生后 Aave 上发生的 rsETH 借款信息,并将尽快分享更多细节。”
初始声明发布后不久,Aave 又更新了该动态,在最后加上了一句:“如果该协议因本次事件而累积坏账,我们将探索弥补赤字的途径。”
截至发文,尚不清楚本次事件所造成坏账的具体数额。
Aave 直接竞争对手 Spark 的战略主管 monetsupply.eth 表示,如果 rs ETH 出现 19% 的折价(被盗数额占 rsETH 总供应量的 19%),Aave 可能会产生超过 1 亿美元的坏账,因为存在高杠杆的循环借贷。
不过,Aave 生态代表性治理团队 Aave Chan Initiative(ACI)的创始人 Marc Zeller(已宣布因治理分歧将于 7 月退出 Aave)却给出了不同的看法。Zeller 在事件爆发之初曾建议用户从 Aave V3 中尽快取出 WETH 以规避损失,并确认 Aave 上的 USDC 和 USDT 市场不受影响,他在回复另一位用户关于“坏账可能达到上亿规模”的猜测时曾表示:“远小于该数字。”
但 Marc Zeller 也提到,现在是时候在真正的生产环境中检验 Umbrella 了。所谓 Umbrella,即 Aave 的自动安全模块,简单来说这就是一个应对坏账的资金池,用户可向其内存入资产以获取较高激励,但当协议出现坏账时,该资金池也需承担潜在的亏损。
Aave 协议数据显示,目前 Umbrella 内共拥有价值约 5000 万美元的 WETH 可用于应对本次事件的潜在坏账,但暂时并不确定是否足够填补窟窿。
受此事件影响,AAVE 短线大跌近 10%,截至发文暂报 104.6 USDT。
四月的又一场亿级安全事件
这并非本月发生的第一起巨额安全事件。
早在 4 月 1 日,Solana 生态衍生品交易协议 Drift Protocol 边曾遭遇攻击,损失高达 2.8 亿美元(详见《愚人节笑话?Drift Protocol被盗超2.8亿美元,或成Solana生态第二大DeFi劫案》)。
事后,Drift Protocol 直接将被盗的锅甩给了“朝鲜黑客”,但幸运的是,Tether 等机构已承诺注资 1.475 亿美元用于用户赔付,用户至少有了些索赔希望。
仅仅过去了十几天,又一起规模更大的黑客事件爆发,这一次又该如何收场呢?
DeFi 还有安全的地方吗?
DeFi 的安全问题正愈演愈烈。
一边是持续不断的黑客事件,另一边是 Mythos 等 AI 带来的持续性安全威胁(可参阅《Odaily专访余弦:Anthropic核弹级新模型泄漏,如何影响加密安全攻防?》)。对于 DeFi 用户而言,此前的应对举措是将资金尽量向审计充分、品牌信誉较好的头部协议聚拢,但现如今,就连 Aave 这种散户潜意识里极难出问题的顶级协议也间接受到了波及,用户还能把资金挪去哪呢?
就个人而谈,当下确实不太建议用户将大量资金留在链上,如若确实存在需求,请务必做好仓位的分散与隔离。
截至发文,关于本次事件的较多细节仍未明晰,Odaily 将持续跟进事件进展,请保持关注。
