Futuros
Aceda a centenas de contratos perpétuos
TradFi
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Pre-IPOs
Desbloquear acesso completo a IPO de ações globais
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Simple Earn
Ganhe juros com tokens inativos
Investimento automático
Invista automaticamente de forma regular.
Investimento Duplo
Aproveite a volatilidade do mercado
Soft Staking
Ganhe recompensas com staking flexível
Empréstimo de criptomoedas
0 Fees
Dê em garantia uma criptomoeda para pedir outra emprestada
Centro de empréstimos
Centro de empréstimos integrado
Promoções
Centro de atividades
Participe de atividades para recompensas
Referência
20 USDT
Convide amigos para recompensas de ref.
Programa de afiliados
Ganhe recomp. de comissão exclusivas
Gate Booster
Aumente a influência e ganhe airdrops
Announcements
Atualizações na plataforma em tempo real
Blog da Gate
Artigos da indústria cripto
AI
Gate AI
O seu parceiro de IA conversacional tudo-em-um
Gate AI Bot
Utilize o Gate AI diretamente na sua aplicação social
GateClaw
Gate Lagosta Azul, pronto a usar
Gate for AI Agent
Infraestrutura de IA, Gate MCP, Skills e CLI
Gate Skills Hub
Mais de 10 mil competências
Do escritório à negociação, uma biblioteca de competências tudo-em-um torna a IA ainda mais útil
GateRouter
Escolha inteligentemente entre mais de 30 modelos de IA, com 0% de taxas adicionais
Vulnerabilidade de segurança que abala todo o DeFi
Autor: thedefinvestor Tradução: Shanuopa, Jinjise Caijing
Análise completa do incidente rsETH
Na semana passada, a Kelp DAO enfrentou uma das maiores ataques de roubo de DeFi dos últimos tempos.
Os hackers usaram mensagens falsificadas de cross-chain para invadir a ponte cross-chain rsETH da Kelp DAO, suportada pela LayerZero, e emitiram arbitrariamente 116.5 mil rsETH, avaliado em cerca de 290 milhões de dólares.
O ataque em si já teve consequências graves, e a forte ligação do rsETH com o ecossistema DeFi ampliou ainda mais o impacto da catástrofe. Por exemplo, o rsETH já foi listado como ativo de garantia compatível na Aave.
Após a emissão fictícia de rsETH pelos hackers, eles imediatamente usaram esses tokens como garantia na Aave para emprestar ETH, levando a uma inadimplência superior a centenas de milhões de dólares na Aave.
Não foi só a Aave; o incidente teve um alcance muito amplo: protocolos como Compound, o cofre EarnETH da Lido, alguns pools de empréstimo Morpho, o produto mHyperETH da Hyperithm, o cofre SuperWETH da Superform, entre outros, foram afetados por possuírem ou se conectarem ao rsETH em diferentes graus.
Quem é realmente responsável pelo incidente?
Em comparação com ataques anteriores, como o Drift, a responsabilização neste caso é mais complexa.
A vulnerabilidade foi na ponte cross-chain rsETH operada pela LayerZero, e não em uma falha no contrato inteligente da própria Kelp DAO. Atualmente, há uma disputa de responsabilidades: a LayerZero acusa a Kelp DAO, enquanto a Kelp DAO afirma que a responsabilidade é totalmente da LayerZero.
Analisando os fatos principais de forma objetiva:
Os hackers invadiram os dois provedores de RPC utilizados pela rede de validação distribuída (DVN) da LayerZero, manipulando dados e realizando a emissão maliciosa de tokens;
A ponte rsETH da Kelp DAO usa um mecanismo de validação de assinatura única (1/1 DVN), que depende de um único nó de validação para aprovar transações, facilitando a aprovação de transações falsificadas;
A LayerZero acusa a Kelp DAO de usar uma validação de segurança baixa, baseada em um único nó, mas a própria LayerZero permite e tolera que todos os projetos utilizem o modo de validação minimalista 1/1;
Antes do ataque, 47% das aplicações descentralizadas conectadas à infraestrutura cross-chain da LayerZero estavam usando a configuração 1/1 DVN, não sendo um caso isolado da Kelp DAO.
Fica claro que: a LayerZero deve assumir a maior responsabilidade e reconhecer suas falhas de design.
A falha da Kelp DAO foi simplificar demais a configuração de segurança, usando apenas um nó de validação; se tivesse adotado validação multiassinada e multi-nós, o ataque poderia ter sido evitado. Mas, em última análise, se os nós RPC da LayerZero não tivessem sido comprometidos, o roubo de tokens não teria ocorrido.
Desenvolvimento futuro e resposta do setor
Felizmente, cerca de um terço dos ativos roubados já foram congelados e recuperados pela Arbitrum, que também bloqueou os fundos relacionados aos hackers.
Do ponto de vista do princípio de descentralização, a decisão de os projetos na cadeia congelarem ativos de forma voluntária é controversa. Mas, na prática, considerando que nas redes de segunda camada a descentralização total é difícil de alcançar, agir para limitar perdas e proteger os usuários é mais importante do que manter uma teoria idealista.
Ao mesmo tempo, a Aave está avaliando várias soluções para cobrir as enormes perdas causadas pelo incidente. A parceira de gestão de risco da Aave, LlamaRisk, propôs duas principais estratégias de resolução:
Compartilhar as perdas por toda a rede: distribuir as prejuízos em todas as chains onde a Aave está implantada, com os emprestadores na rede principal Ethereum assumindo 1,54% das perdas;
Isolamento das perdas: limitar as perdas à camada de segunda camada onde o hacker utilizou o rsETH como garantia, podendo chegar a uma perda de até 71% para os emprestadores na cadeia Mantle.
Os cálculos acima foram feitos antes do bloqueio de 30.766 ETH pela Arbitrum; o prejuízo final real provavelmente será muito menor.
Além disso, a Aave não descarta usar fundos do tesouro para cobrir parte das perdas, e a equipe oficial do Mantle confirmou que está elaborando planos de recuperação e compensação de ativos.
Minha expectativa é que a solução final maximize a proteção dos direitos dos usuários, buscando perdas zero ou mínimas. A Aave, há muito tempo, é um exemplo de aplicação DeFi de baixo risco e alta rentabilidade, e este incidente grave prejudicou sua reputação.
Após a repercussão do evento, muitos criticaram o setor, afirmando que os principais protocolos estão falhando consecutivamente e que o DeFi está em declínio.
Eu não concordo com essa visão. Olhando para a história do desenvolvimento, o setor DeFi passou por várias crises importantes, mas sempre conseguiu se recuperar, evoluir e recomeçar.
O DeFi não vai desaparecer por causa disso, mas todo o setor precisa encarar os problemas: antes de buscar inovação e retorno, a segurança deve ser prioridade máxima.