Aave cho phép rút rsETH trên năm chuỗi khối khác nhau

Vụ tấn công ngày 18 tháng 4 gây ra khủng hoảng

Sự cố bắt nguồn từ cuộc tấn công cầu nối và oracle khai thác lỗ hổng tích hợp LayerZero V2 của Kelp DAO giữa Unichain và Ethereum. Kẻ tấn công đã làm giả dữ liệu xác minh, thuyết phục phía Ethereum của cầu nối rằng rsETH đã bị đốt trên Unichain trong khi thực tế không có vụ đốt nào xảy ra, cho phép chúng mở khóa khoảng 116.500 token rsETH từ tài khoản ký quỹ trên mạng chính mà không gây ra sự hủy bỏ tương ứng trên mạng gốc. Vụ tấn công đã phơi bày lỗ hổng cơ bản trong cấu hình LayerZero của Kelp: cầu nối hoạt động với Mạng Xác minh Dữ liệu (DNVN) đơn lẻ trong thiết lập một-đối-một, có nghĩa là thông điệp đến gian lận có thể được xác thực mà không cần xác nhận độc lập từ chuỗi gốc.

Số rsETH bị đánh cắp ngay lập tức được gửi làm tài sản thế chấp trên các triển khai Aave trên mạng chính Ethereum và nhiều mạng Layer 2, nơi kẻ tấn công đã vay khoảng 82.650 WETH trị giá 190 triệu đô la dựa trên tài sản thế chấp không được bảo đảm. Ít nhất bảy tài khoản duy trì các vị thế cho vay gần hoặc dưới ngưỡng thanh lý, tạo ra rủi ro nguy hiểm cho các giao thức cho vay khi tỷ giá rsETH giảm mạnh từ mức ngang bằng với ETH xuống thấp tới 2.800 đô la trong khi ETH giao dịch quanh mức 3.500 đô la. Khả năng của kẻ tấn công trong việc rút giá trị thực bằng cách sử dụng tài sản thế chấp được tạo ra một cách gian lận có nghĩa là sự thiếu hụt cuối cùng sẽ biểu hiện thành nợ xấu do những người cho vay hợp pháp cung cấp WETH cho các thị trường bị ảnh hưởng gánh chịu.

Người bảo vệ giao thức và người quản lý rủi ro của Aave đã phản hồi trong vòng vài giờ bằng cách đóng băng dự trữ rsETH và wrsETH trên tất cả các triển khai Aave V3, đặt tỷ lệ cho vay trên giá trị bằng không và cấm vay hoặc cung cấp tài sản bị xâm phạm mới. Nhóm cũng đã sửa đổi các mô hình lãi suất cho WETH trên nhiều chuỗi và đóng băng dự trữ WETH trên các thị trường được chọn để ngăn chặn sự lây lan trong hệ sinh thái cho vay. Các vị thế hiện có vẫn có sẵn để trả nợ và thanh lý, nhưng việc đóng băng đã cách ly hiệu quả thiệt hại trong khi liên minh phục hồi được hình thành để giải quyết sự thiếu hụt hỗ trợ.

Liên minh DeFi United huy động được hơn 300 triệu đô la

Chỉ vài ngày sau vụ tấn công, một nỗ lực phối hợp mang tên DeFi United đã xuất hiện, quy tụ các giao thức DeFi lớn, nhà cung cấp cơ sở hạ tầng và các cá nhân đóng góp để khôi phục lại sự hỗ trợ cho rsETH trước khi sự lây lan có thể gây ra những thất bại dây chuyền trên các thị trường cho vay liên kết. Liên minh cuối cùng đã huy động được hơn 300 triệu đô la cam kết bằng ETH, đủ để bù đắp toàn bộ khoản thiếu hụt hỗ trợ do kẻ tấn công tạo ra và lưu hành các token rsETH không được hỗ trợ.

Mạng lưới Mantle đã đưa ra cam kết lớn nhất với hạn mức tín dụng 30.000 ETH, tận dụng vị thế là mạng lưới Layer 2 được tích hợp mạnh mẽ với cơ sở hạ tầng đặt cược lại của Kelp. Aave DAO đề xuất đóng góp 25.000 ETH vào kho bạc, với người sáng lập Stani Kulechov bổ sung cam kết cá nhân 5.000 ETH bên cạnh cam kết của tổ chức đối với giao thức. Khoản đóng góp cá nhân này thể hiện quan điểm của ban lãnh đạo rằng việc phục hồi thành công là sống còn đối với uy tín của DeFi và sự sẵn lòng đặt vốn cá nhân vào rủi ro để ngăn chặn sự thất bại của hệ thống.

Thanh lý, đốt và các vấn đề pháp lý phức tạp

Việc khôi phục lại nguồn cung rsETH đòi hỏi sự phối hợp phức tạp giữa cơ chế quản trị Aave, Kelp DAO, Hội đồng An ninh Arbitrum và các tòa án liên bang. Bước quan trọng đầu tiên là thanh lý các vị thế cho vay được bảo đảm bằng rsETH còn lại của kẻ khai thác trên mạng chính Ethereum và Arbitrum, điều mà Aave đã thực hiện thông qua quy trình quản trị tạm thời thao túng giá oracle rsETH để tạo ra sự thiếu hụt trong các vị thế gian lận của kẻ tấn công. Giao thức nhấn mạnh rằng tất cả các thay đổi cấu hình được thực hiện trong quá trình thanh lý sẽ được hoàn nguyên sau khi hoàn tất mà không có bất kỳ thay đổi lâu dài nào đối với cơ chế cốt lõi của Aave.

Tài sản thế chấp được thu hồi đã được chuyển đến Recovery Guardian, một ví đa chữ ký được chỉ định do các thành viên liên minh DeFi United quản lý. Nhưng việc giải quyết nguồn cung ngầm của kẻ khai thác đòi hỏi nhiều hơn là chỉ thanh lý các vị thế vẫn còn tồn đọng. Hợp tác với Hội đồng An ninh Arbitrum và hệ thống quản trị Aave, liên minh đã thành công trong việc cô lập và đốt cháy số rsETH mà kẻ khai thác đã dùng làm tài sản thế chấp trên Arbitrum, qua đó loại bỏ hiệu quả các token được tạo ra bất hợp pháp khỏi lưu thông trước khi quỹ thu hồi có thể được sử dụng. Việc loại bỏ có chọn lọc này đảm bảo rằng ETH mới được bơm vào hệ thống sẽ hỗ trợ các token hợp pháp của người dùng thay vì cung cấp thanh khoản để rút các tài sản bị đánh cắp.

Tăng cường bảo mật và chuyển đổi sang Chainlink CCIP

Song song với sự phục hồi tài chính, Kelp DAO đã thực hiện một cuộc đại tu bảo mật toàn diện cho cơ sở hạ tầng cầu nối LayerZero của mình và thông báo chuyển đổi sang Giao thức tương tác chuỗi chéo (CCIP) của Chainlink cho các hoạt động chuỗi chéo trong tương lai. Những thay đổi này, được kiểm toán bởi công ty bảo mật blockchain BailSec, nhằm giải quyết các lỗ hổng cơ bản đã tạo điều kiện cho vụ tấn công ngày 18 tháng 4, đồng thời thiết lập các yêu cầu xác minh mạnh mẽ hơn trong tương lai.

Việc tăng cường bảo mật đáng kể nhất liên quan đến việc nâng cao yêu cầu xác minh từ Mạng lưới xác minh dữ liệu (DVN) đơn lẻ trước đây của LayerZero lên bốn người chứng thực độc lập, loại bỏ cấu hình một-đối-một cho phép các thông điệp gian lận vượt qua quá trình xác thực mà không cần kiểm tra chéo. Ngưỡng xác nhận khối tăng từ 42 lên 64, cung cấp thêm thời gian để phát hiện các bất thường trước khi các thông điệp được coi là cuối cùng và không thể đảo ngược. Và Kelp đã loại bỏ hoàn toàn tất cả các tuyến cầu nối Layer 2 sang Layer 2, buộc tất cả các giao dịch chuyển chuỗi chéo phải đi qua mạng chính Ethereum, nơi các giả định bảo mật mạnh mẽ hơn và cơ sở hạ tầng trưởng thành hơn giúp giảm thiểu bề mặt tấn công.

Tuyên bố miễn trừ trách nhiệm: Thông tin được trình bày trong bài viết này là nhận định cá nhân của tác giả trong lĩnh vực tiền mã hóa. Đây hoàn toàn không phải là lời khuyên tài chính hay đầu tư. Mọi quyết định đầu tư đều nên dựa trên sự cân nhắc kỹ lưỡng danh mục cá nhân và mức độ chấp nhận rủi ro của bạn. Quan điểm trong bài viết không đại diện cho lập trường chính thức của nền tảng. Chúng tôi khuyến nghị người đọc tự nghiên cứu và tham khảo ý kiến chuyên gia trước khi đưa ra bất kỳ quyết định đầu tư nào.

Tổng hợp và phân tích bởi HCCVenture

Theo dõi tổ chức HCCVenture tại đây : https://link3.to/holdcoincventure

HOLD Coin CVenture

Kết nối với chúng tôi

©2023 HCCVenture Group

Thông tin liên hệ

Gmail : sp_contact@hccventure.com

Thông tin về chúng tôi

Điều khoản

Phân tích thị trường

Khám phá HCCVenture group

Nội dung phổ cập

Đối tác chiến lược

Chính sách bảo mật

→ Đối tác chiến lược

→ Dữ liệu On-chain

→ Nhà đầu tư

→ Quan hệ truyền thông

→ Báo cáo thị trường

→ Dòng tiền ETFs

Nhận định chiến lược

Chia sẻ kiến thức

Miễn trừ trách nhiệm: Thông tin trên website này chỉ nhằm mục đích cung cấp thông tin tham khảo và không được xem là lời khuyên đầu tư. Chúng tôi không chịu trách nhiệm đối với bất kỳ rủi ro hay tổn thất nào phát sinh từ các quyết định đầu tư dựa trên nội dung tại đây.

ĐIỀU KHOẢN VÀ ĐIỀU KIỆN • CHÍNH SÁCH BẢO VỆ KHÁCH HÀNG

CÁC NỘI DUNG PHÂN TÍCH VÀ TIN TỨC ĐỀU ĐƯỢC TỔNG HỢP VÀ CUNG CẤP BỞI CÁC CHUYÊN GIA TRONG LĨNH VỰC TÀI CHÍNH SỐ VÀ BLOCKCHAIN THUỘC TỔ CHỨC HCCVENTURE, BAO GỒM QUYỀN SỞ HỮU NỘI DUNG.

CHỊU TRÁCH NHIỆM QUẢN LÝ TOÀN BỘ NỘI DUNG VÀ PHÂN TÍCH : NHÀ SÁNG LẬP HCCVENTURE - TRUONG MINH HUY

Đọc cảnh báo về lừa đảo và email lừa đảo — BÁO CÁO SỰ CỐ VỚI TRANG WEB CỦA CHÚNG TÔI.

Tin tức