Децентрализованное финансовое (DeFi) соглашение Rhea Finance 16 апреля столкнулось с серьезной уязвимостью безопасности; по оценкам блокчейн-компании CertiK, потери составили около 7,6 млн долларов. Злоумышленники, создав мошеннический контракт токена и закачав средства в недавно созданный пул ликвидности, ввели в заблуждение оракул и механизм верификации соглашения, что позволило успешно вывести средства. CertiK уже идентифицировала адрес(а) в затронутой цепочке, расследование продолжается.
Механизм атаки: комбинация обмана с поддельным контрактом токена и пулом ликвидности
(Источник: NearBlocks)
Согласно предварительному анализу CertiK, технический маршрут этой атаки включает два ключевых шага. Сначала злоумышленник развернул мошеннический контракт токена, а затем внес средства в недавно созданный пул ликвидности, создавая иллюзию «обычной торговой активности». Эта операция ввела в заблуждение оракул и слой верификации, на которые полагается протокол Rhea Finance, заставив его ошибочно оценить стоимость активов и позволив злоумышленнику воспользоваться разницей между воспринимаемой протоколом ценностью и фактической ценностью для вывода средств.
Такие атаки с манипуляциями оракулами — повторяющаяся угроза безопасности в экосистеме DeFi. Ключевой принцип заключается в искажении решений протокола о состоянии активов за счет искусственно созданных сигналов ликвидности или ложных ценовых данных, что запускает логику транзакций, которая не должна выполняться.
Масштаб потерь: $7,6 млн — почти 6% TVL Rhea Finance
CertiK оценивает потери примерно в 7,6 млн долларов, но по мере углубления ончейн-анализа эта цифра все еще может измениться. По данным DefiLlama, Rhea Finance в настоящее время удерживает около $128 млн общей заблокированной стоимости (TVL), что означает, что потери от этой уязвимости составляют примерно 6% от общих ликвидных средств платформы; в рамках одного инцидента по безопасности это относится к средне- и относительно более серьезным случаям.
После кражи средств злоумышленники направляли активы через несколько адресов в сети — это типичная для атак в DeFi тактика запутывания, цель которой усложнить дальнейшее отслеживание и работы по заморозке средств.
Крупные движения ончейн-средств в тот же день
В день инцидента Rhea Finance в ончейн-записях также выделяются еще две крупные передачи BTC:
Правительство США: внесло 8,2 BTC на Coinbase Prime (примерно $606 тыс.); эти активы получены из конфискованных средств, связанных с хакерским инцидентом Bitfinex
Abraxas Capital: внесло 1 993 BTC на Kraken (примерно $148 млн), продолжая крупномасштабный паттерн торгов биткоином, наблюдаемый с середины марта
Частые вопросы
Что такое атака с манипуляцией оракулом и как она влияет на DeFi-протоколы?
Оракул — это посредник, через который DeFi-протокол получает ценовые данные вне цепочки или в цепочке. Когда злоумышленник вводит искаженные данные в оракул через искусственно контролируемый пул ликвидности или поддельный контракт токена, протокол может ошибочно оценить стоимость активов и, действуя на основе отклоненных цен, выполнить кредитование, ликвидацию или арбитражные операции, позволяя злоумышленнику безрисково забрать разницу. Это один из самых распространенных и устойчиво существующих методов атаки в истории DeFi.
Насколько серьезны потери Rhea Finance по сравнению с его TVL?
Потери в $7,6 млн составляют около 5,9% от примерно $128 млн TVL Rhea Finance, что относится к категории инцидентов со средней тяжестью. Если злоумышленник еще не завершил все переводы средств, фактические потери могут быть выше первоначальной оценки CertiK. Платформа по-прежнему работает, но существует потенциальный риск дальнейшего развития ситуации.
Rhea Finance до сих пор не ответила; как должны действовать пользователи, у которых есть активы?
До того как команда протокола выпустит официальный ответ или подтвердит, что уязвимость безопасно заблокирована, пользователям, владеющим активами Rhea Finance, следует оценить, нужно ли вывести ликвидность, чтобы снизить риски. Нужно продолжать отслеживать последние ончейн-изменения по этому инциденту через сторонние платформы безопасности, такие как CertiK, и избегать внесения новых средств до полного подтверждения ремонта уязвимости.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Aave приостанавливает операции с резервом rsETH в Ethereum, Arbitrum и других сетях для снижения системного риска
Gate News сообщение, 23 апреля — Aave объявила, что приостановила операции, связанные с резервом rsETH, в основной сети Ethereum, Arbitrum, Base, Mantle и Linea, чтобы снизить системный риск в ходе процесса восстановления активов.
Мера направлена на сохранение дополнительных средств, пока план восстановления
GateNews21м назад
JPMorgan: DeFi-хакеры встречаются все чаще, и TVL простаивает — механизм сжатия привлекает интерес, капитал перетекает в USDT
Отчет JPMorgan считает, что в DeFi продолжаются уязвимости, атаки с использованием кроссчейн-мостов и оракулов участились, из-за чего TVL стоит на месте и снижается желание институциональных инвесторов; средства перетекают в USDT, который можно отслеживать и замораживать. Атаки на KelpDAO и Rhea Finance раскрывают риски управления рисками; централизованные стейблкоины и кастодиальные решения пользуются большим спросом. В долгосрочной перспективе для улучшений нужно выйти за рамки страхования и управления (governance); DeFi не сможет вернуться к высоким TVL 2021 года, а стейблкоины станут еще более сосредоточенными.
ChainNewsAbmedia28м назад
Главный экономист Circle предлагает повысить ставки USDC на Aave на фоне последствий KelpDAO
Сообщение Gate News, 23 апреля — Гордон Ляо, главный экономист Circle, на этой неделе предложил повысить параметры кредитования USDC на Aave v3 Ethereum Core после $292 млн взлома KelpDAO rsETH, который вызвал кризис ликвидности во всём протоколе. В своем Request for Comment Ляо предлагает увеличить "Slope 2" до 40% при целевом значении 50% и снизить оптимальную загрузку, чтобы привлечь новые депозиты и снять давление на рынке.
The proposal stems from acute pressure on Aave's USDC pool, which has remained essentially pinned at full utilization for four days. At the current rate of roughly 14%, Liao argues, repayments are absorbed almost entirely by queued withdrawals rather than restoring usable liquidity. The KelpDAO incident has cascaded across DeFi markets, causing Aave's total value locked to plummet from above billion before the exploit to roughly $15.3 billion, with steep withdrawals and persistent utilization pressure across core markets.
Community feedback on Aave's governance forum has quickly raised liquidation concerns. Analysis shared in response to the proposal found that the target rate curve could push approximately $70.1 million of material debt closer to liquidation over 30 days, with one large wallet accounting for most of the exposure. Critics argue that steeper rates would shift pain from lenders stuck in withdrawal queues to borrowers operating with thin health-factor cushions. Additionally, some community members have questioned why Circle, as USDC's issuer, is pursuing governance-based solutions rather than providing direct liquidity support. Liao noted that his post reflects "personal views only, not representing those of Circle."
GateNews1ч назад
Крупное обновление CEX: улучшена система выявления мошенничества с машинным обучением и движком правил, время реагирования сокращено до часов
Сообщение Gate News, 23 апреля — Крупная централизованная биржа объявила о модернизации своей системы противодействия мошенничеству путем интеграции моделей машинного обучения с движками на основе правил, внедрив двухконтурную стратегию, при которой модели обеспечивают долгосрочную защиту, а правила позволяют действовать быстро. Единая платформа
GateNews1ч назад
Meta Pool Warns of Fraudulent Contract Impersonating Official Staking Pool and Token
Gate News message, April 23 — Meta Pool has identified a suspicious smart contract attempting to impersonate its legitimate staking pool and token. The platform emphasized that the fraudulent contract has no association with Meta Pool or any official NEAR liquid staking
GateNews2ч назад
JPMorgan: Эксплойты в DeFi и застой TVL продолжают сдерживать институциональное внедрение
Сообщение Gate News, 23 апреля — аналитики JPMorgan заявляют, что устойчивые эксплойты в децентрализованных финансах и слабый рост по-прежнему ограничивают институциональный интерес к сектору. Недавняя атака на Kelp DAO уничтожила примерно $20 миллиарда из общей стоимости DeFi, заблокированной (TVL), всего за несколько дней, согласно отчету, возглавленному управляющим директором JPMorgan Николаосом Панигирцоглу.
GateNews2ч назад
