RationalAnswer | Павел Комаровский
@RationalAnswer
Взлом Kelp/Aave, или почему я не инвестирую в DeFi, часть 2 [начало здесь]
Ну а теперь ближе к теме взлома: в экосистеме децентрализованных финансов наплодилась куча разных сетей: Polygon, Arbitrum, BSC, и т.д. И всем хочется иметь возможность беспроблемно переводить свои токены между этими разными сетями. Для этого используются специальные «мосты»: они блокируют токены криптана в родной для них сети, и взамен выдают новый «зеркальный» токен уже на нужной сети. Да, по сути, это тот же самый принцип с «удостоверяющими расписками».
Так вот, в прошлое воскресенье как раз взломали один такой мост на технологии LayerZero, которым пользовался протокол Kelp. Северокорейские хакеры придумали хитрый способ создать из воздуха почти $300 млн фальшивых токенов rsETH – то есть таких, которые не были обеспечены реальными замороженными в мосте токенами ETH. Дальше они их молниеносно отнесли в «криптобанк» Aave как залог, и достали себе в карман $200 млн уже в виде реального эфира ETH.
И сейчас в Твиттере стоит настоящий вой всех участников процесса. Aave кричит «наши смарт-контракты сработали как надо, это вы там в Kelp позволили какую-то хрень контрафактную напечатать!». Kelp в ответ вопят «да мы вообще ни при чем, взломали же мост на технологии LayerZero!!». LayerZero делает морду тяпкой и выпускает пресс-релиз в стиле «наша технология непогрешима, это просто рукожопы из Kelp не смогли нормально всё настроить».
Но по итогу дырка на двести лямов баксов осталась-таки висеть внутри баланса Aave – и они там все вместе чешут репу на предмет «а чьими бабками придется ее затыкать»? Так что все, кто придумал в свое время «надежно разместить свою крипту для получения дохода в крупнейшем DeFi-протоколе», решили на всякий случай ее резко вынуть обратно себе в карман – потому что, а ну как решат всех вкладчиков понемногу обезжирить, для общего дела-то?
В результате из Aave вывели за день примерно $8 млрд – это треть всей крипты, что там лежала. И то, вывести получилось далеко не у всех: в ряде пулов токены просто тупо в моменте закончились. Получается, криптаны думали, что они кладут бабки в доходные обеспеченные смарт-контракты с возможностью забрать их в любой момент, а по факту вышло «вынуть прямо сейчас не выйдет, увы, – ну и мы тут еще параллельно обсуждаем с пацанами, не забрать ли часть вашей крипты на затыкание общей дырки…»
В общем, надеюсь, у меня получилось кратко ответить, почему я сам не иду в DeFi. Возможно, криптаны в комментах мне расскажут, почему я неправ.
Ну а теперь ближе к теме взлома: в экосистеме децентрализованных финансов наплодилась куча разных сетей: Polygon, Arbitrum, BSC, и т.д. И всем хочется иметь возможность беспроблемно переводить свои токены между этими разными сетями. Для этого используются специальные «мосты»: они блокируют токены криптана в родной для них сети, и взамен выдают новый «зеркальный» токен уже на нужной сети. Да, по сути, это тот же самый принцип с «удостоверяющими расписками».
Так вот, в прошлое воскресенье как раз взломали один такой мост на технологии LayerZero, которым пользовался протокол Kelp. Северокорейские хакеры придумали хитрый способ создать из воздуха почти $300 млн фальшивых токенов rsETH – то есть таких, которые не были обеспечены реальными замороженными в мосте токенами ETH. Дальше они их молниеносно отнесли в «криптобанк» Aave как залог, и достали себе в карман $200 млн уже в виде реального эфира ETH.
И сейчас в Твиттере стоит настоящий вой всех участников процесса. Aave кричит «наши смарт-контракты сработали как надо, это вы там в Kelp позволили какую-то хрень контрафактную напечатать!». Kelp в ответ вопят «да мы вообще ни при чем, взломали же мост на технологии LayerZero!!». LayerZero делает морду тяпкой и выпускает пресс-релиз в стиле «наша технология непогрешима, это просто рукожопы из Kelp не смогли нормально всё настроить».
Но по итогу дырка на двести лямов баксов осталась-таки висеть внутри баланса Aave – и они там все вместе чешут репу на предмет «а чьими бабками придется ее затыкать»? Так что все, кто придумал в свое время «надежно разместить свою крипту для получения дохода в крупнейшем DeFi-протоколе», решили на всякий случай ее резко вынуть обратно себе в карман – потому что, а ну как решат всех вкладчиков понемногу обезжирить, для общего дела-то?
В результате из Aave вывели за день примерно $8 млрд – это треть всей крипты, что там лежала. И то, вывести получилось далеко не у всех: в ряде пулов токены просто тупо в моменте закончились. Получается, криптаны думали, что они кладут бабки в доходные обеспеченные смарт-контракты с возможностью забрать их в любой момент, а по факту вышло «вынуть прямо сейчас не выйдет, увы, – ну и мы тут еще параллельно обсуждаем с пацанами, не забрать ли часть вашей крипты на затыкание общей дырки…»
В общем, надеюсь, у меня получилось кратко ответить, почему я сам не иду в DeFi. Возможно, криптаны в комментах мне расскажут, почему я неправ.
👍 213
😁 111
😱 31
❤ 24
😢 4
87 174 23.8K
Обсуждение 87
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram