第一种方案成本低得多,但有 rsETH 可能被按约 15% 的按价计算,而第二种方案成本更高,但能更好地保护以太坊主网,并将损失集中在第二层层。
去中心化借贷平台Aave的风险管理提供商提出了两种情景,说明周末Kelp DAO漏洞利用带来的坏账可能对生态系统的影响,具体取决于损失的分配方式。
事件始于周六,黑客从Kelp DAO的LayerZero桥梁中窃取了价值2.93亿美元的11.65万枚Kelp DAO重塑ETH(rsETH)代币,并以此作为抵押品在Aave V3上借入包裹以太坊(wETH)。
周一,LlamaRisk模拟了两种可能的情景,说明这笔“坏账”可能在Aave上出现,并指出最终决定权在Kelp DAO。
此事件凸显了DeFi领域的传染风险,单一桥接漏洞可能引发流动性紧缩和跨越互联协议的大规模提款,自Kelp DAO漏洞事件发生以来,协议中已有近100亿美元的资金流出。
两种情景及可能的前进路径
第一种情景是所有 rsETH 代币持有者在以太坊主网和以太坊第二层的损失分散,导致 Aave 上约有 1.237 亿美元的坏账,同时 rsETH 相对于以太坊的 depeg 有 15% 的风险
ETH
2318美元
LlamaRisk表示,第一种情景将使损失在所有链间更均匀分布,同时指出包裹以太币(wETH)将“在绝对层面吸收大部分损失,但相对于其储备深度几乎不会察觉到损失。”
Aave还可以利用其伞式安全模型来弥补wETH在第一种情景下的损失,指出已有18,922枚价值近4,370万美元的Aave包裹ETH(aWETH)代币进入了无质押冷却阶段。
第二种情景则将全部短缺转移到以太坊的二层网络,如Arbitrum和Mantle。然而,坏账金额将显著增加,达到2.301亿美元。
LlamaRisk还指出,Aave的国库中约有1.81亿美元,可用于解决潜在的坏账短缺。
周一,Kelp DAO表示仍在评估该漏洞利用的财务影响及如何安全恢复协议暂停,并补充说,正与Aave、LayerZero及其他利益相关方合作,制定前进路径。
Kelp DAO 对该漏洞提供了更多解释
Kelp DAO还透露了更多事件细节,称连接LayerZero桥的两个节点被攻破,第三个节点遭遇分布式拒绝服务攻击。
攻击者伪造了一条看似有效的传输消息,系统批准了该消息,使得 116,500 rsETH 在 LayerZero 的一座桥上被铸造。
Kelp表示,随后暂停了以太坊及以太坊2层的所有相关合约,并将所有与该利用者相关的钱包列入黑名单,阻止他们窃取另外价值9500万美元的4万卢比ETH。
