Атака rsETH, яка розпочалася у суботу ввечері 18 квітня, за тиждень переросла з одного злома мосту у одну з найбільших криз ліквідності в історії DeFi. 116 500 rsETH, вартістю приблизно $292 мільйонів, були створені через фальшиве повідомлення на мосту rsETH KelpDAO, заснованому на LayerZero. Зловмисник потім безпосередньо депонував ці "незабезпечені" токени у Aave, фактично позичаючи реальні активи. Ось короткий огляд подій тижня:

Як працювала атака?

Використовуючи конфігурацію LayerZero з одним валідатором (1-із-1), міст KelpDAO підтвердив фальшиве повідомлення lzReceive зловмисника. Це дозволило створити rsETH без блокування будь-якого ETH у гаманці.

Ці rsETH були депоновані у Aave V3 як заставу протягом кількох хвилин. Протокол, за своєю природою, прийняв запит, і зловмисник зняв приблизно $190 мільйонів WETH, wstETH та стабільних монет. Пізніше Aave заявив, що "система працювала відповідно до свого дизайну, проблема була у тому, що застава була фальшивою."

Ті самі токени також використовувалися на ринках Aave в Arbitrum і Base. Загальний дефіцит, за початковими оцінками, коливається між $123 мільйонами та $230 мільйонами.

Банківська паніка на Aave

Як тільки новина поширилася, користувачі почали панікувати. Загальний обсяг на Aave, який становив 45,8 мільярдів доларів у суботу ввечері, знизився до 30,8 мільярдів доларів до середини середи. Виведення приблизно $15 мільярдів було найшвидшим за історією протоколу.

Найкритичнішим моментом стало, коли пули USDT і USDC досягли 100% використання. Приблизно $5 мільярдів стабільних монет стали непридатними через несплату позикодавцями. Поки користувачі протестували з скаргами "мої гроші заблоковані" у X, токен AAVE втратив 17,7% своєї вартості за три дні.

Керівництво Aave заблокувало ринки rsETH на Ethereum, Arbitrum і Optimism. Нові депозити застави та позики були припинені.

Замороження та відстеження

У понеділок Радбез Arbitrum заморозив 30 766 ETH, приблизно $71 мільйонів, у гаманці зловмисника та перемістив їх у безнаглядний сейф. Це викликало дебати щодо децентралізації, але принаймні частина грошей була повернута.

Залишки коштів швидко відмиваються. Детективи на блокчейні з’ясували, що зловмисник конвертував 34 500 ETH, приблизно $175 мільйонів, у Біткоїн через THORChain. Менші суми були маршрутизовані через протокол приватності Umbra. LayerZero приписує атаку "ячейці TraderTraitor" групи Lazarus, пов’язаної з Північною Кореєю.

Об’єднаний сектор DeFi: контрзаходи

Щось незвичайне сталося наприкінці тижня. Aave, Spark, Morpho, Curve і Mantle створили пул відновлення під назвою "DeFi United". Мета — відновити заставу для rsETH.

Спочатку до спільного пулу було депоновано 43 500 ETH, приблизно $101 мільйонів.
Mantle відкрив кредитну лінію на 30 000 ETH для Aave і заявив: "ми внесемо з казни, якщо потрібно."
На сьогодні вже повернуто понад $204 мільйонів активів, і ліквідність починає нормалізуватися.

Команда KelpDAO призупинила всі контракти rsETH і переписує міст із LayerZero. LayerZero оголосила, що скасувала всі конфігурації з одним валідатором і припинила підписання повідомлень.

Яка ситуація з rsETH зараз?

Токен все ще не забезпечує ETH у співвідношенні 1:1. Він торгується з дисконтом 6-8% на ринку. Aave ще не вирішила, чи соціалізувати збитки. На столі три варіанти:

Покриття казни Aave
Передача збитків власникам rsETH
Поступове викуплення через пул DeFi United

Найактуальніша проблема для користувачів — заблоковані стабільні монети. Aave заявила, що виведення USDT/USDC буде відкрито, коли погашення позик зросте.

Який урок?

Атака на $292 мільйонів показала, як одна помилка у конфігурації може знищити $14 мільярдів TVL у DeFi. Проєкти "інфраструктури" на кшталт LayerZero тепер відповідають не лише за код, а й за операційну безпеку.

Останні дані, оприлюднені під хештегом #rsETHAttackUpdate , показують, що найгірша частина кризи минула, але рана ще не зажила. Замороження Arbitrum зберегло $71 мільйонів, DeFi United зібрав $100 мільйонів, але залишається дефіцит у $120 мільйонів.

Для сектору це найбільший "випробування довіри" з часів краху Terra 2022 року. Якщо Aave поглине збитки, наратив "код — закон" у DeFi поступиться місцем ідеї "страхування спільноти". Якщо ні — почнеться довгий юридичний процес між власниками rsETH і вкладниками Aave.

Атака, яка почалася тиждень тому, тепер є проблемою не лише для KelpDAO, а для всієї системи повторного залучення.