Futuros
Acesse centenas de contratos perpétuos
TradFi
Ouro
Plataforma única para ativos tradicionais globais
Opções
Hot
Negocie opções vanilla no estilo europeu
Conta unificada
Maximize sua eficiência de capital
Negociação demo
Introdução à negociação de futuros
Prepare-se para sua negociação de futuros
Eventos de futuros
Participe de eventos e ganhe recompensas
Negociação demo
Use fundos virtuais para experimentar negociações sem riscos
Lançamento
CandyDrop
Colete candies para ganhar airdrops
Launchpool
Staking rápido, ganhe novos tokens em potencial
HODLer Airdrop
Possua GT em hold e ganhe airdrops massivos de graça
Pre-IPOs
Desbloqueie o acesso completo a IPO de ações globais
Pontos Alpha
Negocie on-chain e receba airdrops
Pontos de futuros
Ganhe pontos de futuros e colete recompensas em airdrop
Investimento
Simple Earn
Ganhe juros com tokens ociosos
Autoinvestimento
Invista automaticamente regularmente
Investimento duplo
Lucre com a volatilidade do mercado
Soft Staking
Ganhe recompensas com stakings flexíveis
Empréstimo de criptomoedas
0 Fees
Penhore uma criptomoeda para pegar outra emprestado
Centro de empréstimos
Centro de empréstimos integrado
Centro de riqueza VIP
Planos premium de crescimento de patrimônio
Gestão privada de patrimônio
Alocação premium de ativos
Fundo Quantitativo
Estratégias quant de alto nível
Apostar
Faça staking de criptomoedas para ganhar em produtos PoS
Alavancagem Inteligente
Alavancagem sem liquidação
Cunhagem de GUSD
Cunhe GUSD para retornos em RWA
Promoções
Centro de atividade
Participe de atividades e ganhe recompensas
Indicação
20 USDT
Convide amigos para recompensas de ind.
Programa de afiliados
Ganhe recomp. de comissão exclusivas
Gate Booster
Aumente a influência e ganhe airdrops
Anúncio
Atualizações na plataforma em tempo real
Blog da Gate
Artigos do setor de criptomoedas
AI
Gate AI
Seu parceiro de IA conversacional para todas as horas
Gate AI Bot
Use o Gate AI diretamente no seu aplicativo social
GateClaw
Gate Blue Lobster, pronto para usar
Gate for AI Agent
Infraestrutura de IA, Gate MCP, Skills e CLI
Gate Skills Hub
10K+ habilidades
Do escritório à negociação: um hub completo de habilidades para turbinar o uso da IA
GateRouter
Escolha inteligentemente entre mais de 30 modelos de IA, com 0% de taxas extras
Vulnerabilidade de segurança que abala todo o DeFi
Autor: thedefinvestor Tradução: Shen Ouba, Jinqi Caijing
Análise completa do incidente de ataque rsETH
Na semana passada, a Kelp DAO enfrentou um dos maiores ataques de roubo de DeFi dos últimos tempos.
Hackers usaram mensagens falsificadas de cross-chain para invadir a ponte cross-chain rsETH da Kelp DAO, suportada pela LayerZero, e emitiram arbitrariamente 116.5 mil rsETH, avaliado em cerca de 290 milhões de dólares.
O ataque em si já teve consequências graves, e a forte ligação do rsETH com o ecossistema DeFi ampliou ainda mais o impacto da catástrofe. Por exemplo, o rsETH já foi listado como ativo de garantia compatível na Aave.
Após a emissão arbitrária de rsETH pelos hackers, eles imediatamente usaram esses tokens como garantia para emprestar ETH na Aave, causando uma inadimplência superior a centenas de milhões de dólares na plataforma.
Não foi só a Aave; o incidente teve alcance amplo: protocolos como Compound, o cofre EarnETH da Lido, alguns pools de empréstimo Morpho, o produto mHyperETH da Hyperithm, o cofre SuperWETH da Superform, entre outros, que possuem ou utilizam rsETH, também foram afetados em diferentes graus.
Quem realmente é responsável pelo incidente?
Em comparação com ataques anteriores, como o Drift, a responsabilização neste caso é mais complexa.
A vulnerabilidade foi explorada na ponte cross-chain rsETH gerenciada pela LayerZero, e não em uma falha no contrato inteligente da própria Kelp DAO. Atualmente, há uma disputa de responsabilidades: a LayerZero acusa a Kelp DAO, enquanto a Kelp DAO afirma que a responsabilidade é inteiramente da LayerZero.
Analisando os fatos principais de forma objetiva:
Os hackers invadiram a rede de nós de validação distribuída (DVN) da LayerZero, que depende de dois provedores de RPC, para alterar dados e realizar a emissão maliciosa;
A ponte cross-chain rsETH da Kelp DAO usa um mecanismo de validação de assinatura única (1/1 DVN), que depende de um único nó de validação para aprovar transações, facilitando a aprovação de transações falsificadas;
A LayerZero acusa a Kelp DAO de usar uma validação de segurança baixa, com um único nó, mas a própria LayerZero permite e tolera que todos os projetos utilizem o modo de validação minimalista 1/1;
Antes do ataque, 47% das aplicações descentralizadas que utilizam a infraestrutura cross-chain da LayerZero estavam usando a configuração 1/1 DVN, não sendo um caso isolado da Kelp DAO.
Fora os detalhes técnicos complexos, fica claro: a LayerZero deve assumir a maior responsabilidade e reconhecer suas falhas de design.
A falha da Kelp DAO foi simplificar demais a configuração de segurança, usando apenas um nó de validação; se tivesse adotado validação multiassinada e multi-nós, o ataque poderia ter sido evitado. Mas, no final das contas, se os nós RPC da LayerZero não tivessem sido comprometidos, todo o roubo de tokens não teria ocorrido.
Desenvolvimento futuro e resposta do setor
Felizmente, cerca de um terço dos ativos roubados pelos hackers já foram congelados e recuperados pela Arbitrum, que também bloqueou os fundos relacionados aos hackers.
Do ponto de vista do conceito de descentralização, há controvérsia sobre a prática de os projetos na blockchain congelarem ativos de forma proativa. Mas, na realidade, considerando que na camada 2 a descentralização completa é difícil de alcançar, agir para limitar perdas e proteger os usuários é mais significativo do que apenas falar em ideais.
Ao mesmo tempo, a Aave está avaliando várias soluções para cobrir as enormes inadimplências causadas pelo incidente. A parceira de gerenciamento de risco da Aave, LlamaRisk, propôs duas principais estratégias de resolução:
Compartilhar as perdas por toda a rede: distribuir as perdas em todas as chains onde a Aave está implantada, com os credores de ETH na rede principal do Ethereum assumindo 1,54% das perdas;
Isolamento das perdas: limitar as perdas à camada 2 onde os hackers usaram rsETH como garantia, podendo chegar a uma perda de até 71% para os credores de ETH na cadeia Mantle.
Os números acima são estimativas antes do Arbitrum congelar as 30.766 ETH roubados; o prejuízo final real provavelmente será muito menor.
Além disso, a Aave não descarta usar fundos do tesouro para cobrir parte das inadimplências, e a equipe oficial da Mantle já confirmou que está elaborando planos de recuperação e compensação de ativos.
Minha esperança é que a solução final maximize a proteção dos direitos dos usuários, alcançando perdas zero ou mínimas. A Aave, há muito tempo, é um exemplo de aplicação DeFi de baixo risco e alta rentabilidade, e este incidente grave prejudicou sua reputação.
Após a repercussão do evento, muitos críticos passaram a desacreditar o setor, afirmando que os principais protocolos estão sofrendo falhas consecutivas e que o DeFi está em declínio.
Porém, discordo dessa visão. Olhando para a história de desenvolvimento, o setor DeFi passou por várias crises importantes, mas sempre conseguiu se recuperar, evoluir e reiniciar.
O DeFi não vai desaparecer por causa disso, mas todo o setor precisa encarar os problemas: antes de buscar inovação e retorno, a segurança deve ser prioridade máxima.