Ayo aku expluit di Kelp DAO su rsETH ha meso Aave davanti al Suo "moment of truth"
Ini pertama kalinya aku melihatnya
Foto oleh Peggy Block Beats

Xuguez editor mendorong seluruh DeFi ke dalam tes tekanan mendadak pada 18 April, transfer luar biasa sekitar 11.65 juta rsETH. Aset-aset curian yang mengalir ke Aave v3, meminjamkan sejumlah besar WETH sebagai jaminan, dengan cepat menekan sistem pinjaman yang sudah berfungsi dan stabil: pemanfaatan kolam ETH didorong ke 100 per sen, utang-utang buruk potensial mendekati $200 juta, dan krisis likuiditas diciptakan oleh penarikan dana besar-besaran dalam hitungan jam。

Pada wajah itu, ini hanya serangan silang rantai lain; tetapi masalah yang lebih dalam adalah bahwa hal itu tidak terjadi di dalam kode Aave sendiri, tetapi disalurkan melalui aset agunan eksternal yang tampaknya aman. Gagalnya kegagalan rsETH dalam rantai jembatan, re-admittance dan governance telah mengecilkannya dari konversibilitas ekonominya, perubahan yang melambai di belakang dalam sistem peminjaman dan akhirnya berkembang menjadi dampak langsung pada penyelesaian perjanjian。

Dalam kertas ini, struktur risiko DeFi berubah. Keamanan perjanjian tidak lagi hanya menjadi pertanyaan apakah kontrak terbuka, tetapi pertanyaan apakah jaminan yang diterima, seluruh teknologi di baliknya, dan rantai pemerintahan dapat diandalkan. Ketika sifat flow dari janji, re-admittansi dan lapisan infrastruktur rantai silang tumpang tindih, kegagalan dari setiap link mungkin diperkuat oleh rantai jaminan menjadi kejutan sistemik。

Akibatnya, ia adalah tipikal "kebalikan dari keuntungan": ia pernah dilihat sebagai dekat dengan keuntungan reinkarnasi bebas risiko, diterjemahkan ke dalam kecacatan dan paparan utang buruk dalam satu hari. Untuk Aave, ini adalah ujian yang nyata tentang pemerintahan dan pengendalian angin; untuk ekologi DeFi secara keseluruhan, mungkin merupakan pengingat yang lebih jelas — dalam sistem yang sangat terintegrasi, risiko tidak pernah hilang, tetapi didistribusikan dan tertunda。

Berikut ini adalah teks asli:

Pengantar: rSETH tidak lagi "nol risiko" hari

Pada 18 April 2026, DeFi melewati masa ketika "teori" benar-benar dihilangkan dari Ørealisme": jembatan rseTH milik Kelp DAO digunakan, dan sekitar 116.500 rseTH (sekitar $292 juta hingga $293 juta) diserang, menjadikannya sebagai peretas Defi terbesar pada tahun sekarang。

Koin yang dicuri itu tidak tinggal di tempat, tetapi dengan cepat dipindahkan ke Aave v3, digunakan sebagai jaminan dan WETH dipinjamkan. Operasi ini secara langsung memicu krisis likuiditas dan menciptakan utang-utang buruk lebih dari $170 juta hingga $200 juta dalam perjanjian。

Tidak seperti banyak serangan sebelumnya, kali ini bukan kode Aave sendiri dengan celah. Masalah itu berasal dari "eksternal" — sumber harga jaminan yang seharusnya dapat diandalkan dan kehilangan kredibilitas dalam jangka waktu singkat。

Makalah ini akan menguraikan evolusi spesifik dari peristiwa tersebut, menjelaskan mengapa hal ini lebih seperti krisis likuiditas daripada kesenjangan keamanan pada tingkat Aave, dan lebih lanjut mengeksplorasi apa artinya risiko manajemen dalam ekologi DeFi yang semakin saling terkait。

Apa

Kellp DAO adalah perjanjian janji janji liquid (libid libid rekrive) yang memungkinkan pengguna untuk mengubah ETH dan semua jenis token mobile (misalnya stETH, cbETH, dll) menjadi sebuah token cair yang disebut rseTH, yang dijadwalkan akan ditugaskan kembali pada EigenLayer。

Oleh karena itu, nilai RESETH berasal dari keranjang aset yang mendasari terkunci dalam sistem pengiriman kembali. Meskipun likuiditas terbatas mereka sendiri, rsETH, sebagai token, bebas beredar di seluruh ekologi DeFi, sebagai jaminan atau sebagai peserta dalam beragam strategi pendapatan。

Dari sudut pandang perjanjian pinjaman Aave, rsETH hampir ideal agunan dalam teori: Ia memiliki dukungan tambahan yang baik, sumber pendapatan tambahan, dan tertanam dalam ekologi " skala biru" seperti EigenLayer. Inilah sebabnya mengapa rsETH terhubung dengan pasar Aave v3 dan v4, memungkinkan pengguna untuk menggunakannya sebagai jaminan dan meminjamkan lebih banyak aset cair (misalnya WETH)。

Tapi integrasi ini juga membawa perubahan dalam paradigma risiko: Penyelesaian Aave di sisi ETH tidak lagi bergantung semata-mata pada desain dan keselamatan perjanjian sendiri, tetapi juga mulai bergantung pada komponen eksternal — termasuk keselamatan operasional jembatan lintas rantai — dan pada seluruh fasilitas pengiriman kembali yang mendukung rsETH。

Jalur Serangan: Dari Jembatan Lintas Kelp ke Aave v3

Menurut analisis pendahuluan pada rantai dan beberapa laporan media yang dienkripsi, titik awal insiden tersebut adalah Kelp DAO berdasarkan jembatan RSETH dari LayerZero。

Woandon menggunakan celah dalam mekanisme informasi cross-linknya (lzReceive in EndpointV2), penyerang diekstraksi sekitar 116.500 rsETH dari adapter/bridge, sesuai dengan perkiraan $292 juta hingga $293 juta pada saat serangan。

Setelah mendapatkan koin-koin ini, strategi menyerang secara ekonomi sangat " masuk akal":

• Deposit rsET ke dalam Aave v3 sebagai jaminan

• • Pinjaman WE sampai sejauh mungkin atas dasar posisi ini (menggunakan r r r r • sama sekali diakui sebagai aset yang terendam yang sah di bawah perjanjian pada saat itu)

• WETH YANG AKAN DIPINJAM UNTUK TRANSFER ATAU REALISASI UNTUK MENGEKSTRAK NILAI LIKUIDITAS NYATA

Menjaga risiko dalam sistem Aave, menunggu nilai jaminan untuk runtuh

Ketika Kelp DAO menemukan anomali, ia dengan cepat mengumumkan suspensi jaringan utama dan beberapa kontrak rseTH pada L2 dalam rangka untuk menyelidiki serangan dan pada dasarnya membekukan aliran normal dari rsETH dan jalur penebus。

Pada saat yang sama, Aave harus membekukan pasar rsETH dan wrSETH pada v3 dan v4, menekankan bahwa kontrak cerdasnya sendiri belum rusak dan bahwa masalah itu terbatas pada aset tunggal。

Tapi masalahnya adalah bahwa rsETH, yang merupakan jaminan pada saat ini, adalah "defunct" pada tingkat ekonomi。

JEMBATAN CROSS-CHAIN KOSONG, RUTE PENYITAAN TIDAK PASTI DAN MEKANISME PENEMUAN HARGA SEDANG BERANTAKAN — SEMENTARA WETH, YANG SEBELUMNYA DIPINJAM PADA AGUNANNYA, MASIH NYATA。

Krisis likuiditas: tingkat pemanfaatan puncak dan "sembilan digit" buruk

Kellp DAO' s membeku pada rSETH mencegah likuidasi secara teratur posisi yang sebelumnya dipegang sebagai jaminan. Secara khusus, peminjaman WETH terhadap hipotek ini tidak lagi mampu memulihkan nilai yang cukup melalui pembuangan rSETH, dan perjanjian itu seharusnya menjadi mekanisme \"cairan terakhir\" dan menjadi tidak efektif pada posisi-posisi tersebut。

Perkiraan perkiraan awal menunjukkan bahwa:

Sekitar 116.500 rsET dicuri dan disimpan di Aave v3

PEMINJAMAN WETH LANGSUNG TERKAIT DENGAN POSISI-POSISI INI BERKISAR ANTARA SEKITAR $177 JUTA HINGGA $236 JUTA

:Potensi utang buruk sampai maksimum sekitar $200 juta jika perjanjian lain dianggap terbuka

Kolam ETH dari Aave pernah digunakan pada 100 persen, dengan sedikit likuiditas tersedia untuk pengguna (kecuali ditarik dulu)

panik cepat menyebar: hanya dalam beberapa jam, Aave memiliki lebih dari $ 5,4 miliar dana yang mengalir keluar, lebih dari $ 150 juta yang datang dari Justin Sun, salah satu pemain utama dalam perjanjian。

Total lockout Aave (TVL) menurun dari sekitar $45,8 miliar menjadi $35,7 miliar dalam jangka waktu yang sangat singkat, sementara token AAVE jatuh sekitar 17 sampai 20 persen dalam satu hari。

HASIL YANG CUKUP IRONIS ADALAH BAHWA, BAGI PENGGUNA YANG MEMINJAMKAN MATA UANG STABIL ATAU ASET LAIN, TINGKAT PENGEMBALIAN TELAH MELAMBUNG - HASIL DARI KEKURANGAN DANA YANG TERSEDIA, PENDAPATAN TAHUNAN DARI DEPOSITO MATA UANG YANG STABIL (APY) DIDORONG HINGGA SEKITAR 13 HINGGA 14 PERSEN, SINYAL TIPIKAL MASUKNYA PASAR KE DALAM \"MODEL KRISIS\"。

Insiden ini mengungkapkan manajemen risiko pada rantai

insiden RSETH-Khelp DAO-Aave bukan hanya serangan biasa, ini lebih seperti kasus khas bagaimana risiko ditransmisikan dari satu perjanjian ke perjanjian lain dalam sistem keuangan DeFi yang sangat komringed。

Beberapa kesimpulan kunci adalah sebagai berikut:

Perjanjian pinjaman tidak terisolasi
Bahkan jika kontrak Aave yang cerdas itu sendiri tidak rusak, menerima RSETH sebagai jaminan berarti terkena langsung risiko eksternal — termasuk operasi aman jembatan — dan sistem di belakangnya。

Bila terjadi kecelakaan, nubuat - nubuat itu tidak cukup mahal
Bahkan jika harga rantai tetap formal "efektif " , itu berhenti menjadi jaminan ekonomis yang memenuhi syarat setelah aset kehilangan kapasitas dapat ditebus atau bergerak (misalnya karena suspensi, serangan atau pembekuan). Manajemen risiko Polinesia perlu menggabungkan integritas infrastruktur dan faktor pemerintahan, bukan hanya dimensi harga。

Mekanisme suspensi darurat adalah ganda. Pedang
Kellp DAO membekukan kontrak rsETH, yang masuk akal dari sudut pandang mengendalikan serangan, telah memperburuk masalah untuk Aave: ketidakmampuan untuk memindahkan agunan membuat likuidasi lebih sulit。

Hipotek yang tersebar mungkin berkembang menjadi konsentrasi risiko sistematis
Setiap LRT baru, LST atau aset turunan kompleks memperkenalkan sumber risiko baru. Setelah aset-aset ini diterima sebagai agunan dalam perjanjian ganda (misalnya, Aave, Compund, Euler, dll.), serangan rantai silang dapat memicu reaksi berantai di seluruh ekologi。

untuk manajer risiko berbasis rantai, acara ini pada dasarnya adalah \"template\": yang disebut \"daftar putih dingin\" tidak lagi hanya penilaian volatilitas harga, tetapi ukuran kompleksitas dan kerentanan seluruh rantai pasokan teknologi yang mendasari aset。

Outlook: bagaimana Aave (dan DeFi) dapat berubah setelah peristiwa RSETH

Dalam beberapa jam dari serangan, tim Aave dan Guardian kembali menetapkan bahwa kolam renang masih berfungsi dan bahwa insiden yang berhubungan hanya dengan aset terkait rsETH dan bekerja dengan Kelp, LayerZero dan pihak lain yang tertarik untuk meminimalkan dampaknya。

Tetapi, karya yang sebenarnya baru saja dimulai: bagaimana menangani utang yang buruk, apakah mengaktifkan mekanisme Safetty Module/Umbrella, dan bagaimana memperbarui strategi aset-on-line akan menjadi uji stres kritis pada tingkat pemerintahan。

Beberapa arah di mana insiden bisa mempercepat meliputi:

PARAMETER UP-LINE YANG LEBIH KONSERVATIF UNTUK ASET LRT / CROSS-CHAIN: LTV YANG LEBIH RENDAH, BATAS YANG LEBIH KETAT, DAN PERSYARATAN AUDIT MULTI-LEVEL, DENGAN PENGUJIAN STRES YANG BERDEDIKASI UNTUK SKENARIO SERANGAN RANTAI SILANG。

• membangun kerangka kuantitatif untuk mengukur risiko " jembatan " dan "mencuri risiko saham " , mirip dengan model saat ini volatilitas harga dan relevansi aset。

PERHATIAN YANG LEBIH LANJUT DIBERIKAN KEPADA ISU KONSENTRASI AGUNAN: INI TIDAK HANYA DIBATASI OLEH ASET TUNGGAL TETAPI JUGA OLEH KELAS "RISK " (MISALNYA ASET TURUNAN DARI PENYEDIA LRT YANG SAMA ATAU INFRASTRUKTUR PESAN YANG SAMA)。

• BERKONTRIBUSI DENGAN EVOLUSI PERAN MODUL KEAMANAN: TERMASUK JANJI AVE, BRANKAS ASURANSI DAN KOLAM DANA LINDUNGAN, BERPINDAH DARI \"GARIS TERAKHIR\" KE KOMPONEN MANAJEMEN RISIKO SISTEMATIS RUTIN。

Untuk pengguna, acara ini juga mengirimkan sinyal yang jelas bahwa penggunaan token kombinasi kompleks sebagai jaminan memang dapat meningkatkan pengembalian, tetapi juga berarti paparan terhadap rentang risiko yang sering diabaikan - Ini termasuk celah dalam jembatan rantai silang, pengaturan pengiriman kembali, dan moratorium darurat pada perjanjian hulu。

Sebuah pengingat tentang sifat DeFi melanjutkan

serangan oleh RSETH tidak melanggar kode Aave, tetapi mengungkapkan pertanyaan kunci: Kepekaan terhadap perjanjian peminjaman terhadap kejutan eksternal meningkat secara signifikan ketika agunan dibangun pada janji cairan kompleks, pengiriman kembali dan rantai silang struktur jembatan。

Keuntungan yang tampaknya \"bebas-risk\" dari beberapa bulan terakhir, hanya dalam satu hari, berkembang menjadi krisis likuiditas yang dipicu oleh arus keluar keuangan lebih dari $ 10 miliar dan potensi utang buruk hingga $200 juta。

Jika salah satu pelajaran inti yang harus dipelajari, itu adalah bahwa di DeFi, keuntungan selalu harga risiko. Namun, risikonya sering kali diremehkan sebelum peristiwa sistemik pertama。

[Terkekeh]Bahasa Asli]