coin-img-ETHETH-2.53%coin-img-BTCBTC-1.31%coin-img-SOLSOL-1.41%coin-img-ASTEROIDETHASTEROIDETH+50.00%coin-img-TOMTOM-9.29%coin-img-XRPXRP-1.39%coin-img-USDCUSDC+0.00%coin-img-RAVERAVE+59.90%coin-img-ETHETH-2.53%coin-img-BTCBTC-1.31%coin-img-SOLSOL-1.41%coin-img-ASTEROIDETHASTEROIDETH+50.00%coin-img-TOMTOM-9.29%coin-img-XRPXRP-1.39%coin-img-USDCUSDC+0.00%coin-img-RAVERAVE+59.90%coin-img-ETHETH-2.53%coin-img-BTCBTC-1.31%coin-img-SOLSOL-1.41%coin-img-ASTEROIDETHASTEROIDETH+50.00%coin-img-TOMTOM-9.29%coin-img-XRPXRP-1.39%coin-img-USDCUSDC+0.00%coin-img-RAVERAVE+59.90%coin-img-ETHETH-2.53%coin-img-BTCBTC-1.31%coin-img-SOLSOL-1.41%coin-img-ASTEROIDETHASTEROIDETH+50.00%coin-img-TOMTOM-9.29%coin-img-XRPXRP-1.39%coin-img-USDCUSDC+0.00%coin-img-RAVERAVE+59.90%

Взлом Kelp на $292 млн выявил уязвимости инфраструктуры DeFi

Крупная атака на крипторынке, произошедшая в выходные и оцениваемая примерно в $292 млн, вновь поставила под сомнение устойчивость инфраструктуры децентрализованных финансов (DeFi) и усилила опасения по поводу цепной реакции в кредитных протоколах. Расследование продолжается, но первоначальные выводы указывают на токен rsETH от Kelp — доходную версию ether (ETH) — и механизм, через который активы перемещаются между блокчейнами. По предварительным данным, злоумышленник мог воспользоваться этим механизмом, чтобы выпускать крупные объемы rsETH без надлежащего обеспечения, после чего оперативно использовал такие токены в качестве залога для заимствований и вывода реальных активов из кредитных рынков. Основной удар пришелся на Aave (AAVE $ 90.11), крупнейшую децентрализованную платформу криптокредитования. Инцидент стал очередным ударом по DeFi: всего две недели назад протокол Drift в сети Solana потерял $285 млн. Это дополнительно подрывает доверие инвесторов к сектору, который оценивается почти в $90 млрд. Как пояснил CoinDesk технический директор производителя аппаратных кошельков Ledger Шарль Гийем (Charles Guillemet), целью атаки был компонент моста LayerZero — инфраструктурный элемент, позволяющий переводить активы между разными блокчейнами. В типичной схеме мостов актив блокируется в одной сети, а в другой выпускается эквивалентный токен. Ключевым элементом такой модели выступает доверенная сторона (oracle или validator), подтверждающая депозиты. В данном случае фактически проверяющей стороной выступал Kelp. Гийем отметил, что система была настроена по модели single-signer: любое действие мог подтверждать один участник. По его словам, злоумышленник, судя по всему, получил возможность подписать сообщение, которое позволило выпустить "большое количество rsETH". Каким образом доступ был получен, пока не ясно. Основатель Curve Finance Майкл Егоров (Michael Egorov) указал на ту же слабость конфигурации: "Когда вы доверяете одной единственной стороне, что угодно может пойти не так — кем бы она ни была". Такая настройка дала возможность создавать необеспеченные токены даже при отсутствии заблокированных активов в исходной сети. После выпуска токены быстро пошли в оборот. Как рассказал Гийем, злоумышленник "сразу же внес их в кредитные протоколы, в основном Aave, чтобы занять реальный ETH под залог". В результате проблема перестала быть локальным инцидентом и превратилась в риск для рынка: кредитные платформы получили на баланс залог, который сложно реализовать, в то время как ликвидные активы уже были выведены. Егоров заявил, что Aave "остался с rsETH, который фактически нельзя продать, и с maxborrowed [sic] ETH, поэтому никто не может вывести ETH". Он предупредил, что Aave и другие протоколы могли накопить сотни миллионов долларов сомнительного залога и проблемной задолженности, что повышает риск сценария "bank run", когда пользователи массово выводят средства. На фоне случившегося объем активов в Aave сократился примерно на $6 млрд из-за вывода средств пользователями. Токен протокола за последние 24 часа снизился примерно на 15%. Ключевой вопрос — как именно был скомпрометирован validator. Система опиралась на официальный узел LayerZero, и пока неясно, был ли он взломан, неверно настроен или введен в заблуждение. "Это был взлом? Его обманули? Мы не знаем", — сказал Егоров. Личность атакующего неизвестна. При этом Гийем отметил, что масштаб операции указывает на подготовленного игрока: "Очевидно, это не какие-то script kiddies". Помимо прямых потерь, эпизод вновь показал, что по мере роста взаимосвязанности DeFi сбой на одном уровне может быстро распространяться по всей системе. Егоров считает, что модели кредитования без изоляции рисков, где пулы разделяют риск между активами, усиливают последствия таких событий. Он также раскритиковал подход к листингу новых активов на кредитных платформах, отметив, что конфигурации вроде схемы верификации Kelp 1of1 должны были быть отмечены как риск раньше. При этом Егоров видит и позитивную сторону: "Крипто — жесткая среда, которую не пережил бы ни один банк, — и все же мы работаем в ней". "Думаю, DeFi извлечет урок и станет сильнее". Тем не менее подобные инциденты, даже если приводят к модернизации и переосмыслению протоколов, продолжают подтачивать доверие инвесторов. "В целом такого рода события размывают доверие к DeFi-протоколам", — сказал Гийем. Он добавил: "2026 год, скорее всего, снова станет худшим с точки зрения взломов". Подробнее: 'DeFi is dead': crypto community scrambles after this year's biggest hack exposes contagion risks
Выбрано
ETH
ETH-2.52%
AAVE
AAVE-3.96%
Отказ от ответственности: приведенный выше контент является лишь мнением автора и не отражает позицию BingX. Он не должен рассматриваться как инвестиционный совет от BingX. Для получения более подробной информации ознакомьтесь с Условиями и положениями.