No recent searches
Popular Articles
Sorry! nothing found for
Posted 2 days ago by Application Support
เกิดเหตุโจมตีช่องโหว่ความปลอดภัยครั้งใหญ่ในโปรโตคอล Liquid Restaking ชื่อดังอย่าง Kelp DAO
โดยคนร้ายสามารถเจาะระบบสะพานเชื่อมข้ามเชน (Bridge) ที่ใช้งานเทคโนโลยีของ LayerZero และดึงเหรียญ rsETH ออกไปได้กว่า 116,500 เหรียญ คิดเป็นมูลค่าความเสียหายประมาณ 292 ล้านดอลลาร์สหรัฐฯ
เจาะลึกเหตุการณ์โจมตี
จากข้อมูลบนเครือข่าย (On-chain Data) พบว่าธุรกรรมการดูดเงินเกิดขึ้นเมื่อวันเสาร์ที่ผ่านมา โดยแฮ็กเกอร์ได้เรียกใช้งานฟังก์ชัน lzReceive บนสัญญา EndpointV2 ของ LayerZero ส่งผลให้สัญญาอัจฉริยะของ Kelp ปล่อยเหรียญ rsETH จำนวนมหาศาลไปยังที่อยู่กระเป๋าเงินของผู้โจมตีทันที
ด้าน ZachXBT นักสืบโซเชียลชื่อดังระบุว่า กระเป๋าเงินของแฮ็กเกอร์ได้รับเงินสนับสนุนล่วงหน้า 10 ชั่วโมงผ่านทาง Tornado Cash เพื่ออำพรางแหล่งที่มาของเงิน ก่อนจะเริ่มลงมือโจมตีทั้งบนเครือข่าย Ethereum และ Arbitrum
การตอบโต้จาก Kelp DAO
หลังจากเกิดเหตุประมาณ 46 นาที ทีมงาน Kelp ได้ใช้สิทธิ์ Multisig พิเศษสั่ง "Pause"
หรือระงับการทำงานของระบบทั้งหมดเป็นการชั่วคราว ครอบคลุมทั้งส่วนการฝาก (Deposit Pool), การถอน (Withdrawal), ระบบ Oracle และตัวโทเค็น rsETH เอง
การตัดสินใจระงับระบบที่รวดเร็วนี้ช่วยป้องกันความเสียหายเพิ่มเติมได้ทันท่วงที
โดยพบว่าแฮ็กเกอร์พยายามจะดูดเงินระลอกที่สองและสามอีกกว่า 40,000 rsETH (มูลค่าประมาณ 100 ล้านดอลลาร์)
แต่ธุรกรรมถูกตีกลับเนื่องจากระบบถูกสั่งหยุดทำงานไปก่อนหน้าแล้ว
ตลาดกู้ยืมสะเทือน Aave สั่งระงับตลาดทันที
เหรียญ rsETH ที่ถูกขโมยไปนั้นคิดเป็นสัดส่วนสูงถึง 18% ของอุปทานหมุนเวียนทั้งหมด ส่งผลให้แพลตฟอร์มกู้ยืมรายใหญ่อย่าง Aave ต้องสั่งระงับตลาด rsETH บนเวอร์ชัน V3 และ V4 ทันที เนื่องจากกังวลเรื่องปัญหาหนี้เสีย (Bad Debt)
ทางทีมงาน Aave ระบุว่ากำลังตรวจสอบข้อมูลการกู้ยืมที่เกิดขึ้นหลังการโจมตี และยืนยันว่าช่องโหว่นี้เกิดขึ้นที่ฝั่ง rsETH ไม่ใช่สัญญาของ Aave พร้อมแย้มว่าอาจใช้สินทรัพย์จาก Safety Module (Umbrella) มาชดเชยหากเกิดความเสียหายต่อโปรโตคอล
ไม่ใช่ครั้งแรก
นี่ไม่ใช่ครั้งแรกที่ Kelp DAO ประสบปัญหาด้านความปลอดภัย โดยเมื่อเดือนเมษายน 2025 หรือหนึ่งปีก่อนหน้านี้ Kelp เคยต้องระงับระบบมาแล้วครั้งหนึ่งจากบั๊กในสัญญาค่าธรรมเนียมที่ทำให้มีการผลิตเหรียญ rsETH เกินจำนวนจริง แต่ในครั้งนั้นไม่มีความเสียหายต่อทรัพย์สินของผู้ใช้
ปัจจุบัน Kelp DAO กำลังประสานงานร่วมกับ LayerZero, Unichain และบริษัทผู้ตรวจสอบบัญชี (Auditors) เพื่อวิเคราะห์สาเหตุเชิงลึกและหาทางแก้ไขต่อไป ขณะที่ราคาเหรียญ AAVE ปรับตัวลดลงราว 10% ตอบรับข่าวดังกล่าว
Disclaimer
รายงาน: ihatetruffles
เรียบเรียง: ihatetruffles
อ้างอิง:https://www.theblock.co/post/397988/kelp-daos-rseth-bridge-apparently-exploited-for-roughly-292-million-in-layerzero-based-attack
0 Votes
0 Comments
People who like this
This post will be deleted permanently. Are you sure?
เกิดเหตุโจมตีช่องโหว่ความปลอดภัยครั้งใหญ่ในโปรโตคอล Liquid Restaking ชื่อดังอย่าง Kelp DAO
โดยคนร้ายสามารถเจาะระบบสะพานเชื่อมข้ามเชน (Bridge) ที่ใช้งานเทคโนโลยีของ LayerZero และดึงเหรียญ rsETH ออกไปได้กว่า 116,500 เหรียญ คิดเป็นมูลค่าความเสียหายประมาณ 292 ล้านดอลลาร์สหรัฐฯ
เจาะลึกเหตุการณ์โจมตี
จากข้อมูลบนเครือข่าย (On-chain Data) พบว่าธุรกรรมการดูดเงินเกิดขึ้นเมื่อวันเสาร์ที่ผ่านมา โดยแฮ็กเกอร์ได้เรียกใช้งานฟังก์ชัน lzReceive บนสัญญา EndpointV2 ของ LayerZero ส่งผลให้สัญญาอัจฉริยะของ Kelp ปล่อยเหรียญ rsETH จำนวนมหาศาลไปยังที่อยู่กระเป๋าเงินของผู้โจมตีทันที
ด้าน ZachXBT นักสืบโซเชียลชื่อดังระบุว่า กระเป๋าเงินของแฮ็กเกอร์ได้รับเงินสนับสนุนล่วงหน้า 10 ชั่วโมงผ่านทาง Tornado Cash เพื่ออำพรางแหล่งที่มาของเงิน ก่อนจะเริ่มลงมือโจมตีทั้งบนเครือข่าย Ethereum และ Arbitrum
การตอบโต้จาก Kelp DAO
หลังจากเกิดเหตุประมาณ 46 นาที ทีมงาน Kelp ได้ใช้สิทธิ์ Multisig พิเศษสั่ง "Pause"
หรือระงับการทำงานของระบบทั้งหมดเป็นการชั่วคราว ครอบคลุมทั้งส่วนการฝาก (Deposit Pool), การถอน (Withdrawal), ระบบ Oracle และตัวโทเค็น rsETH เอง
การตัดสินใจระงับระบบที่รวดเร็วนี้ช่วยป้องกันความเสียหายเพิ่มเติมได้ทันท่วงที
โดยพบว่าแฮ็กเกอร์พยายามจะดูดเงินระลอกที่สองและสามอีกกว่า 40,000 rsETH (มูลค่าประมาณ 100 ล้านดอลลาร์)
แต่ธุรกรรมถูกตีกลับเนื่องจากระบบถูกสั่งหยุดทำงานไปก่อนหน้าแล้ว
ตลาดกู้ยืมสะเทือน Aave สั่งระงับตลาดทันที
เหรียญ rsETH ที่ถูกขโมยไปนั้นคิดเป็นสัดส่วนสูงถึง 18% ของอุปทานหมุนเวียนทั้งหมด ส่งผลให้แพลตฟอร์มกู้ยืมรายใหญ่อย่าง Aave ต้องสั่งระงับตลาด rsETH บนเวอร์ชัน V3 และ V4 ทันที เนื่องจากกังวลเรื่องปัญหาหนี้เสีย (Bad Debt)
ทางทีมงาน Aave ระบุว่ากำลังตรวจสอบข้อมูลการกู้ยืมที่เกิดขึ้นหลังการโจมตี และยืนยันว่าช่องโหว่นี้เกิดขึ้นที่ฝั่ง rsETH ไม่ใช่สัญญาของ Aave พร้อมแย้มว่าอาจใช้สินทรัพย์จาก Safety Module (Umbrella) มาชดเชยหากเกิดความเสียหายต่อโปรโตคอล
ไม่ใช่ครั้งแรก
นี่ไม่ใช่ครั้งแรกที่ Kelp DAO ประสบปัญหาด้านความปลอดภัย โดยเมื่อเดือนเมษายน 2025 หรือหนึ่งปีก่อนหน้านี้ Kelp เคยต้องระงับระบบมาแล้วครั้งหนึ่งจากบั๊กในสัญญาค่าธรรมเนียมที่ทำให้มีการผลิตเหรียญ rsETH เกินจำนวนจริง แต่ในครั้งนั้นไม่มีความเสียหายต่อทรัพย์สินของผู้ใช้
ปัจจุบัน Kelp DAO กำลังประสานงานร่วมกับ LayerZero, Unichain และบริษัทผู้ตรวจสอบบัญชี (Auditors) เพื่อวิเคราะห์สาเหตุเชิงลึกและหาทางแก้ไขต่อไป ขณะที่ราคาเหรียญ AAVE ปรับตัวลดลงราว 10% ตอบรับข่าวดังกล่าว
Disclaimer
รายงาน: ihatetruffles
เรียบเรียง: ihatetruffles
อ้างอิง:https://www.theblock.co/post/397988/kelp-daos-rseth-bridge-apparently-exploited-for-roughly-292-million-in-layerzero-based-attack
0 Votes
0 Comments