Атака rsETH, начавшаяся в субботу вечером 18 апреля, за неделю превратилась из одного взлома моста в один из крупнейших кризисов ликвидности в истории DeFi. 116 500 rsETH, стоимостью примерно $292 миллионов, были созданы с помощью фальшивого сообщения на мосту rsETH KelpDAO, основанном на LayerZero. Затем злоумышленник напрямую внес эти «незакреплённые» токены в Aave, фактически занимая реальные активы. Вот краткое изложение событий недели:

Как работала атака?

Используя конфигурацию LayerZero с одним валидатором (1-из-1), мост KelpDAO подтвердил фальшивое сообщение lzReceive злоумышленника. Это позволило создать rsETH без блокировки ETH в кошельке.

Эти rsETH были внесены в Aave V3 в качестве залога в течение нескольких минут. Протокол, по своей природе, принял запрос, и злоумышленник снял примерно $190 миллионов долларов в WETH, wstETH и стейбкоинах. Позже Aave заявил, что «система работала согласно своему дизайну, проблема заключалась в том, что залог был мошенническим».

Те же токены также использовались на рынках Aave на Arbitrum и Base. Общий дефицит, по первоначальным оценкам, составляет от $123 до $230 миллионов.

Банкротство Aave

Как только новости распространились, пользователи начали паниковать. Общий объем на Aave, составлявший 45,8 миллиарда долларов в субботний вечер, снизился до 30,8 миллиарда долларов к среде утром. Вывод примерно $15 миллиардов долларов стал самым быстрым за историю протокола.

Самым критическим моментом стало достижение 100% использования пулов USDT и USDC. Около $5 миллиардов долларов стейбкоинов стали недоступны, потому что заемщики не смогли вернуть долги. Пока пользователи жаловались на «мои деньги заблокированы» в X, токен AAVE потерял 17,7% стоимости за три дня.

Руководство Aave заблокировало рынки rsETH на Ethereum, Arbitrum и Optimism. Новые депозиты залога и заимствования были приостановлены.

Заморозка и отслеживание

В понедельник Совет безопасности Arbitrum заморозил 30 766 ETH, примерно $71 миллионов долларов, находящихся в кошельке злоумышленника, и перевёл их в безнадзорный сейф. Это вызвало дебаты о децентрализации, но часть средств всё же была возвращена.

Оставшиеся средства быстро отмываются. Детективы на блокчейне установили, что злоумышленник конвертировал 34 500 ETH, примерно $175 миллионов долларов, в биткоин через THORChain. Меньшие суммы были направлены через протокол конфиденциальности Umbra. LayerZero связала атаку с ячейкой «TraderTraitor» группы Lazarus, связанной с Северной Кореей.

DeFi объединяется: контрмеры сектора

Что-то необычное произошло в середине недели. Aave, Spark, Morpho, Curve и Mantle создали пул восстановления под названием «DeFi United». Цель — восстановить залог для rsETH.

Изначально в общий пул было внесено 43 500 ETH, примерно $101 миллионов долларов.
Mantle открыл кредитную линию на 30 000 ETH для Aave и заявил: «мы внесём из казны, если потребуется».
На сегодняшний день было возвращено более $204 миллионов долларов активов, и ликвидность начала восстанавливаться.

Команда KelpDAO приостановила все контракты rsETH и переписывает мост с LayerZero. LayerZero объявила, что отменяет все конфигурации с одним валидатором и остановила подписание сообщений.

Итак, какова ситуация с rsETH сейчас?

Токен всё ещё не обеспечивает ETH в соотношении 1:1. Он торгуется с дисконтом 6-8% на рынке. Aave ещё не решил, социально ли компенсировать убытки. На столе три варианта:

Покрытие казной Aave
Перенос убытков на держателей rsETH
Постепенный выкуп через пул DeFi United

Самая насущная проблема для пользователей — заблокированные стейбкоины. Aave заявила, что вывод USDT/USDC откроется по мере ускорения погашения долгов заемщиками.

Какой урок?

Атака на $292 миллионов показала, как одна ошибка в конфигурации может уничтожить $14 миллиардов TVL в DeFi. Проекты инфраструктуры, такие как LayerZero, теперь отвечают не только за код, но и за операционную безопасность.

Последние данные, опубликованные под хэштегом #rsETHAttackUpdate , показывают, что худшая часть кризиса миновала, но рана ещё не зажила. Заморозка Arbitrum спасла $71 миллионов, DeFi United собрала $100 миллионов, но дефицит всё ещё составляет $120 миллионов.

Для сектора это крупнейшее «испытание доверия» с момента краха Terra в 2022 году. Если Aave возьмёт на себя убытки, нарратив «код — закон» в DeFi уступит место «страхованию сообщества». Если нет, начнётся длительный судебный процесс между держателями rsETH и вкладчиками Aave.

Атака, начавшаяся неделю назад, теперь является проблемой не только для KelpDAO, но и для всей системы повторного стейкинга.