DeFi安全再次遭遇重大挫折,Kelp DAO因其rsETH橋接合約遭受大規模攻擊,導致損失近2.92億美元。此事件迅速在加密市場引發擔憂,尤其是在被盜資產轉入Aave等主要借貸協議後,引發了對壞帳及更廣泛協議風險的恐懼。
Kelp DAO攻擊事件始末
Kelp DAO攻擊發生時,攻擊者利用了基於LayerZero構建的rsETH橋接合約,竊取了約116,500枚rsETH,價值約2.92億美元。鏈上記錄顯示,攻擊者通過LayerZero的EndpointV2合約觸發了lzReceive函數,使橋接合約將資產轉移至攻擊者控制的錢包。
攻擊如何發生?
此次攻擊源於安全研究人員認為源鏈私鑰遭洩露,使得看似合法的惡意訊息通過橋接系統。由於該合約僅由1/1驗證者設置保護,單一驗證者的妥協形成了危險的單點故障,導致攻擊成為可能。
Aave為何牽涉其中?
Aave之所以牽涉其中,是因為攻擊者利用被盜的rsETH作為抵押品,借入大量流動性更強的WETH。通過將被盜資產存入Aave V3、Compound V3和Euler,攻擊者共借入超過2.36億美元,其中僅Aave的曝險金額就接近1.96億美元。
Aave如何應對攻擊?
Aave迅速凍結了V3和V4上的rsETH市場,停止新存款並防止針對受影響資產的進一步借貸。團隊澄清Aave本身並未直接遭受攻擊,但由於協議仍可能因借出資金面臨壞帳,因此也準備動用其Umbrella安全模組來覆蓋潛在損失。
此攻擊為何重要?
這起攻擊對DeFi領域意義重大,它展示了一個協議的失敗如何快速將風險擴散至多個主要平台。儘管攻擊始於Kelp DAO,但被盜資金流入Aave等借貸協議後,引發了對流動性、抵押品安全性,乃至頂級DeFi平台能否完全保護用戶免受間接曝險的廣泛憂慮。
結論
Kelp DAO攻擊不僅因2.92億美元的損失成為年度最大DeFi黑客事件之一,更因其迅速波及Aave等主要協議而凸顯重要性。它揭示了橋接安全失敗如何引發更廣泛的市場壓力,並提醒用戶:即使領先的DeFi平台,仍面臨超越其智能合約本身的風險。
