Вчора跨链-міст KelpDAO був зламаний, багато хто каже, що AAVE був вкрадений, але це не зовсім так, $AAVE постраждав від цього.

Ситуація така: зловмисник знайшов уразливість у смарт-контракті мосту KelpDAO (використовував LayerZero), підробив міжланцюгове повідомлення, обдурив контракт, щоб він подумав, що це легальний переказ, і потім безкоштовно створив 116 500 rsETH, майже на 300 мільйонів доларів, що становить 18% обігу rsETH.
Після цього він поклав ці безкоштовно створені rsETH у AAVE V3 і V4 як заставу, позичає 83 000 реальних WETH. Оракул AAVE не може відрізнити, чи ці rsETH справжні чи ні, оскільки вони дійсно існують у ланцюгу, але на нижньому рівні порожні.
Результат у тому, що ці позики ніколи не будуть ліквідовані, оскільки застави — це фактично повітря. AAVE зазнав збитків майже на 200 мільйонів доларів, ціна криптовалюти впала на 10%.
Сам код AAVE не був зламаний, але ця ситуація змушує задуматися: чи є децентралізовані фінанси (DeFi) справжньою перевагою чи потенційною загрозою? Навіть якщо ваш контракт написаний ідеально, якщо застави, які ви приймаєте, мають проблеми, ви все одно програєте. Безпека ніколи не залежить лише від вас — вона визначається найслабшим ланцюгом довірчої системи.
Від Ronin до Wormhole і до KelpDAO —跨链-міст завжди були найбільшим безпековим чорним ямою у DeFi.
Ще одна річ: раніше Anthropic оголосили, що створили модель під назвою Claude Mythos, але вирішили не публікувати її. Причина — ця модель може самостійно виявляти та використовувати ключові програмні вразливості, і вони вважають, що ризик зловживання цим дуже високий.
Погляньмо на ці дві ситуації разом: уразливості смарт-контрактів зараз знаходять люди або за допомогою сучасного ШІ, або витрачаючи багато часу. Але якщо з’являться ще більш потужні моделі ШІ, швидкість і масштаб пошуку вразливостей будуть зовсім іншими. DeFi-протоколи з сотнями мільярдів доларів у залозі, а відкритий код смарт-контрактів — це ідеальна мішень для зловмисників із ШІ.