КелпDAO rsETH міст був зламаний на 290 мільйонів доларів, AAVE постраждав і заморожував ринок

$RAVE ‌
18 квітня у криптосвіті знову сталася велика подія. Міст rsETH на базі LayerZero від KelpDAO був використаний шахраями, які викрали майже 116,5 тисяч rsETH, за тодішнім курсом це приблизно 292 мільйони доларів. Зловмисники діяли хитро, за 10 годин до атаки через Tornado Cash поповнили гаманець, щоб приховати походження коштів.
$BTC ‌
Ця атака була досить серйозною. Вкрадені rsETH становили приблизно 18% від усього обігу. У KelpDAO відреагували швидко — через 46 хвилин після атаки вони застосували екстрене мульти-підписання і тимчасово зупинили депозитний пул, контракт для зняття, оракул і сам токен rsETH, щоб запобігти подальшому зловживанню.
$ETH ‌
Але справа не закінчилася. Зловмисник використав викрадені rsETH як заставу, поклав їх у AAVE V3 і V4, а потім позичив велику кількість WETH. Оскільки rsETH втратили прив’язку, ці застави стали марними, а позичений WETH — неповерненим, що спричинило непогашені борги у пулі WETH AAVE.
#AI基建重心转向应用侧 ‌
Дії з боку AAVE були швидкими — мульти-підписники заблокували ринки rsETH у V3 і V4, заборонивши депозити та використання rsETH як застави для позик. В AAVE наголошують, що їхні контракти не мали проблем, винна — rsETH. Щодо покриття боргів, ймовірно, доведеться покладатися на систему Umbrella, яка обслуговує заставлених користувачів з aTokens, можливо, їх примусово ліквідують для закриття дірки. Розробник Solidity 0xQuit прямо сказав, що пул WETH вже зіпсований, і якщо можливо — потрібно швидко вивести кошти, але, ймовірно, вже пізно.
‌
На блокчейні детектив ZachXBT одразу попередив, що ця атака на Ethereum і Arbitrum забрала понад 280 мільйонів доларів. Ціна токена AAVE також впала на 10-13% у відповідь.