KelpDAO遭漏洞攻击,黑客铸造逾11万枚rsETH套现约2.5亿美元
4月19日,KelpDAO协议发生安全事件,攻击者利用漏洞无成本铸造11.65万枚rsETH,随后通过Aave抵押借ETH及直接抛售两种方式,合计获取约106,466枚ETH,折合约2.5亿美元。
链上分析师余烬监测数据显示,4月19日凌晨,KelpDAO协议遭遇漏洞攻击。攻击者在未提供对应资产的情况下,凭空铸造了11.65万枚rsETH。
获得rsETH后,攻击者采取了两条变现路径:其一,将大部分rsETH存入Aave作为抵押品,借出ETH;其二,将少部分rsETH直接在市场上出售换取ETH。两种操作合计,黑客共获取约106,466枚ETH,按当时价格折算约为2.5亿美元。
以rsETH口径计算,本次事件涉及资产损失约为2.93亿美元,与ETH口径的2.5亿美元之间存在差额,具体原因目前尚不明确。漏洞的技术细节、KelpDAO官方是否已作出回应,以及被盗资金的追踪与处置情况,均暂无公开信息。
解读
此次攻击的核心在于铸造逻辑存在缺陷,允许攻击者绕过资产校验凭空生成代币。黑客将大部分非法铸造的rsETH存入Aave借出ETH,而非直接抛售,一定程度上是为了减少对rsETH市场价格的冲击,同时将风险转嫁给Aave的流动性池。两个口径的损失差额(约4300万美元)可能反映了rsETH在抛售与抵押过程中的价格滑点或折价,但目前缺乏官方说明。事件是否会引发Aave侧的坏账风险,以及KelpDAO后续的补偿与修复方案,是值得持续关注的两个方向。