18 апреля 2026 года в экосистеме Ethereum был обнаружен серьёзный дефект в инфраструктуре стороннего моста, связанного с протоколом децентрализованных финансов Aave. Уязвимость затронула мост rsETH на LayerZero, работающий через кросс-чейн протокол Kelp, и позволила злоумышленнику обойти механизмы контроля единственного валидатора.
Мост Kelp, соединяющий Unichain и Ethereum, использовал единственного валидатора для подтверждения всех транзакций между цепями. Такой подход оказался уязвим к атаке RPC poisoning, в результате чего валидатор подтвердил выпуск 116 500 rsETH на Ethereum без сжигания токенов на исходной цепи. Средства прошли через мостовой адаптер и были зафиксированы в Ethereum, что вызвало выпуск значительного объёма rsETH.
После эксплойта злоумышленник распределил украденные rsETH по семи аккаунтам и внес часть средств в позиции Aave V3 на Ethereum и Arbitrum, используя их в качестве залога для масштабных займов. При этом здоровье позиций поддерживалось близко к порогу ликвидации, чтобы сохранить контроль над активами. Использование rsETH как залога в Aave выявило зависимость протокола от валидации на уровне моста, выходящую за пределы прямого контроля Aave.
Команда Aave оперативно заморозила переводы с участием rsETH и wrsETH через систему Guardian, приостановив депозит и заём этих активов. Параллельно Kelp обезопасила 43 373 rsETH, а Arbitrum Security Council заблокировал 30 766 ETH-транзакций, связанных с нарушителем, чтобы предотвратить использование похищенных средств.
Изучайте больше о мире криптовалют, инвестировании и трейдинге в академии Cryptemic.
Совместные усилия участников индустрии позволили быстро нейтрализовать угрозу: LayerZero сыграл ключевую роль в возникшей уязвимости, партнерские меры обеспечили мгновенное замораживание активов, а восстановительные операции охватили Ethereum и Arbitrum. В дальнейшем DeFi United, объединение крупных ликвидностей, инициировало процесс возврата активов на сумму $300 млн. В общей сложности удалось вернуть 116 131 rsETH, что позволило нормализовать работу рынков Aave и защитить пользователей.
- bitFlyer начнёт торговлю Solana в Японии с 24 июня
- TetherBack расширяет программу кешбэка в USDT на новые биржи
- Ripple укрепляет позиции в Африке через инвестицию в Flutterwave
- State Street запускает денежный рынок для резервов стейблкоинов
- TAO укрепляется на фоне роста интереса к децентрализованному ИИ
