事件概述
4月19日,攻击者从Kelp DAO基于LayerZero的跨链桥中盗取116,500枚rsETH,价值约2.92亿美元。
攻击细节
- 攻击者通过调用LayerZero EndpointV2合约的
lzReceive方法,触发了Kelp桥接合约向攻击者地址释放巨额rsETH。 - 攻击钱包的资金约在10小时前通过Tornado Cash获取。
- 链上侦探ZachXBT指出,KelpDAO在以太坊和Arbitrum上被盗金额超2.8亿美元。
项目方应对
- Kelp DAO:已识别可疑跨链活动,并暂停了主网及多条L2上的rsETH合约,正联合LayerZero、Unichain及安全专家进行根因分析。
- Aave:随即冻结了V3和V4上的rsETH市场,并表示若产生坏账将探索弥补方案。事件导致AAVE代币价格下跌约10%。
背景信息
这是Kelp约一年内发生的第二起安全事件。去年4月,其曾因费用合约漏洞导致rsETH超额铸造,但未造成用户资金损失。
