Взлом DeFi: через мост Kelp DAO rsETH похищено $292 млн, затронут Aave

19 апреля (по пекинскому времени) DeFi столкнулся с новым крупным инцидентом. Согласно ончейн-данным, около 01:35 по местному времени был предположительно взломан контракт моста rsETH проекта Kelp DAO — второго по величине протокола liquid staking, использующего LayerZero. Потери составили 116 500 rsETH, что оценивается примерно в $292 млн. Отслеживание транзакций показывает: примерно за 10 часов до атаки адрес злоумышленника получил стартовое финансирование 1 ETH через миксер Tornado Cash, после чего вызвал функцию lzReceive в контракте LayerZero EndpointV2. Этот вызов инициировал перевод 116 500 rsETH из мостового контракта Kelp на другой адрес атакующего. Примерно через 2,5 часа Kelp DAO подтвердил атаку в X: "Ранее сегодня мы выявили подозрительную кроссчейн-активность, связанную с rsETH. В ходе расследования мы приостановили контракты rsETH в mainnet и на нескольких Layer2. Наши аудиторы работают совместно со специалистами по безопасности LayerZero и Unichain и внимательно отслеживают ситуацию. Мы будем публиковать обновления — следите за нашими официальными каналами." После инцидента ряд DeFi-проектов и команд безопасности занялись разбором причин. В сообществе широко цитировали анализ D2 Finance: LayerZero Scan пометил endpoint источника как Kelp DAO, что указывает на происхождение сообщения из легитимно развернутого endpoint-контракта Kelp; по этому пути ранее было зафиксировано 308 nonce сообщений. Из этого делается вывод, что первопричиной мог стать компрометированный приватный ключ исходной цепочки. Разработчик TinyHumans AI Стивен Энамакил добавил, что контракт защищен лишь набором валидаторов 1/1 (DVN): одной ошибочной транзакции валидатора достаточно, чтобы возникла проблема. Вывод средств через Aave и риск bad debt Из-за ограниченной ликвидности rsETH на рынке атакующий, по сообщениям, выбрал схему выхода через кредитные протоколы: внес rsETH в качестве обеспечения и занял wETH, который легче продать. По данным мониторинга PeckShield Alert, по состоянию на 04:30 сегодня похищенный rsETH был внесен в Aave V3, Compound V3 и Euler, после чего было привлечено значительное количество WETH. Совокупный долг превышал $236 млн, из которых на Aave приходилось $196 млн, на Compound — $39,4 млн, на Euler — около $840 000. На фоне событий Aave оперативно заморозил рынок rsETH в Aave V3 и V4. Позже команда заявила в X: "Контракты Aave не были скомпрометированы; атака связана с rsETH. Заморозка rsETH выполнена, чтобы предотвратить новые депозиты rsETH и заимствования под его залог до оценки ситуации. Мы анализируем заимствования rsETH на Aave, произошедшие после атаки, и поделимся деталями как можно скорее." Вскоре публикацию дополнили: "Если этот инцидент приведет к bad debt для протокола, мы рассмотрим способы покрытия дефицита." Точный размер потенциального bad debt на момент публикации остается неизвестным. monetsupply.eth, стратегический руководитель Spark (прямого конкурента Aave), отметил: если rsETH будет торговаться с дисконтом 19% (эквивалентно краже 19% общего предложения rsETH), то из-за высокоплечевого "кругового" кредитования Aave может столкнуться с bad debt свыше $100 млн. Основатель Aave Chan Initiative (ACI) Марк Целлер, представляющий управляющую команду экосистемы Aave (он сообщал, что покинет Aave в июле из-за разногласий по вопросам управления), высказал иную оценку. Вскоре после атаки он рекомендовал пользователям как можно быстрее вывести WETH из Aave V3, чтобы снизить риски, и подтвердил, что рынки USDC и USDT на Aave не затронуты. На предположение, что bad debt может составить сотни миллионов, он ответил: "Значительно меньше этой цифры." Целлер также подчеркнул, что наступил момент проверить Umbrella в реальной эксплуатации. Umbrella — автоматизированный модуль безопасности Aave, по сути резервный пул для покрытия bad debt: пользователи могут размещать там активы ради повышенных стимулов, но пул принимает на себя возможные убытки при возникновении дефицита. По данным протокола Aave, в Umbrella сейчас доступно около $50 млн в WETH для потенциального закрытия bad debt, но достаточно ли этой суммы — пока неясно. Реакция рынка: на фоне новости токен AAVE краткосрочно снизился почти на 10% и на момент написания торговался около 104,6 USDT. В апреле — уже не первый инцидент на сотни миллионов Это не единственная крупная атака в апреле. 1 апреля протокол деривативов экосистемы Solana Drift Protocol подвергся атаке с потерями до $280 млн. После инцидента Drift Protocol напрямую возложил ответственность на "северокорейских хакеров", при этом такие структуры, как Tether, пообещали $147,5 млн на компенсации пользователям. Прошло чуть больше десяти дней — и произошел новый, еще более масштабный взлом. Чем он завершится, пока неясно. Безопасность DeFi: риски растут Проблемы безопасности в DeFi усиливаются: с одной стороны, продолжаются взломы; с другой — появляются новые угрозы, включая риски, связанные с ИИ-системами вроде Mythos. Ранее пользователи часто реагировали переносом средств в проверенные, "топовые" протоколы с аудитами. Теперь косвенно затронут даже Aave — один из ключевых протоколов, к которому розничные пользователи обычно относятся как к наиболее надежному. На текущем этапе не рекомендуется держать крупные суммы ончейн без необходимости. Если потребность объективна, стоит обеспечить диверсификацию и изоляцию позиций. На момент публикации многие детали инцидента остаются неясными. Odaily продолжит следить за развитием событий.