一名攻擊者已從以太坊和 Arbitrum 網絡上的 Kelp DAO 生態系中,盜走了超過 2.9 億美元。
借貸協議不得不緊急採取保護措施,以遏制這起圍繞 rsETH 跨鏈橋的攻擊所導致的金融蔓延。
由於這場毀滅性的攻擊,Aave (AAVE) 代幣的價格已暴跌約 18%。
根據資安分析公司 D2 Finance 提供的鏈上鑑識報告,此漏洞並非底層 LayerZero 基礎設施的缺陷。
相反地,此攻擊已被確認為「OApp peer-trust bug」,源於源鏈上嚴重的密鑰洩漏。
攻擊者成功入侵了一個合法部署的 Kelp DAO 點對點合約。
在攻擊發生之前,攻擊者的初始地址是透過加密貨幣混幣器 Tornado Cash 進行資助,以隱藏其行蹤。
在獲得大量 rsETH 之後,攻擊者並未立即嘗試變現。
相反地,他們轉而將這些被盜資產在主要的 DeFi 借貸市場進行槓桿操作。
區塊鏈資安公司 PeckShield 透露,攻擊者積極地將被盜的 rsETH 作為抵押品存入,以借入包裹式以太坊 (WETH)。
該攻擊者目前合併持有的資產超過 106,400 ETH,價值近 2.5 億美元。
緊急應變
Aave 正式宣布凍結其 V3 和 V4 部署中的所有 rsETH 市場,剝奪了該資產的所有借貸能力。Aave 創辦人 Stani Kulechov 迅速向用戶保證,Aave 的核心智能合約仍然安全,並未遭到攻擊。
