原文:Aave could face up to $230 million in losses after Kelp DAO bridge exploit triggers DeFi chaos
周末发生的 Kelp DAO 和 LayerZero 桥接漏洞使借贷协议 Aave 面临高达 2.3 亿美元的潜在损失,具体取决于情况的解决方式。
根据 Aave Labs 和服务提供商 LlamaRisk 在 Aave 治理论坛上发布的一份报告,该事件以 KelpDAO 发行的流动性重新抵押代币 rsETH 为中心。为了在区块链之间移动 rsETH,该协议依赖于一种桥接机制,该机制将代币锁定在一条链上,同时在另一条链上发行相应的副本。
攻击者通过伪造看似有效的传输消息来利用该设置。尽管代币从未从发送链中取出,系统还是批准了转账,这意味着新代币在没有支持的情况下被有效创建,从以太坊侧桥释放了 116,500 rsETH。
据报告称,攻击者没有在公开市场上出售资产,而是将 89,567 rsETH 存入 Aave 作为抵押品,并通过以太坊和 Arbitrum 借入了约 1.9 亿美元的 ETH 及相关资产。这使得 Aave 面临抵押品的风险,其支持可能会受到严重损害。
Aave Labs 表示,它迅速采取行动来控制风险。数小时内,该协议冻结了其部署中的 rsETH 市场,将贷款与价值比率设置为零,并停止以该资产为抵押的新借款。
现在的结果很大程度上取决于凯尔普如何处理短缺问题。如果损失分摊到所有 rsETH 持有者身上,该代币将面临估计 15% 的脱钩(意味着质押代币的价值与实际 ETH 的价值不匹配),从而导致 Aave 产生约 1.24 亿美元的坏账。如果损失仅限于第 2 层网络,那么影响将会严重得多,坏账将上升至约 2.3 亿美元,并集中在 Arbitrum 和 Mantle 等网络上。
该漏洞源于 Kelp 使用 LayerZero 验证跨链消息的弱点。通过操纵这个过程,攻击者能够做出某些