بزرگترین سرقت دیفای سال ۲۰۲۶، هکرها به‌راحتی از Aave سوءاستفاده کردند.

نویسنده: شیاو بینگ، شِنچائو تک‌فلو

در عصر ۱۸ آوریل در ساعت ۱۷:۳۵ (UTC)، یک کیف‌پول که از طریق Tornado Cash پولشویی کرده بود، یک پیام بین‌زنجیره‌ای به قرارداد LayerZero EndpointV2 ارسال کرد.

معنای پیام ساده بود: یک کاربر در یک زنجیرهٔ خاص می‌خواست rsETH را به شبکهٔ اصلی اتریوم منتقل کند. لِیرزیرو دستورالعمل را مطابق با طراحی پروتکل به‌طور دقیق منتقل کرد. قرارداد پل‌زنانی که توسط کلپ دی‌ای‌او روی شبکه اصلی مستقر شد، همچنین آزادسازی را دقیقاً طبق طراحی با وفاداری اجرا کرد.

۱۱۶٬۵۰۰ rsETH، به ارزش تقریبی ۲۹۲ میلیون دلار در آن زمان، در یک تراکنش واحد به آدرسی که تحت کنترل مهاجم بود منتقل شد.

مشکل این است که هیچ‌کس در زنجیرهٔ دیگر هرگز این rsETH را سپرده‌گذاری نکرده بود. این «درخواست میان‌زنجیره‌ای» از هوا ساخته شده بود؛ LayerZero به آن باور کرد و پل Kelp نیز به آن باور کرد.

چهل و شش دقیقه بعد، امضای اضطراری چندنفره کلپ بالاخره دکمهٔ توقف را فشار داد. تا این زمان، مهاجم نیمه دوم عملیات را نیز تکمیل کرده بود و از rsETH دزدیده‌شده که عملاً بدون وثیقه بود، برای وثیقه‌گذاری در Aave V3 استفاده کرده و حدود ۲۳۶ میلیون دلار wETH قرض گرفته بود.

این تاکنون بزرگترین سرقت دیفای در سال ۲۰۲۶ است که از پروتکل دریفت پیشی گرفته است؛ پروتکلی که در اول آوریل توسط هکرهای کره‌ شمالی به سرقت چند میلیون دلاری رفت، اما آنچه واقعاً لرزه بر اندام صنعت می‌اندازد، صرفاً مبلغ آن نیست.

حمله چگونه رخ داد: سه شرط‌بندی از ۱۷:۳۵ تا ۱۸:۲۸

بیایید خط زمانی را بازیابی کنیم.

۱۷:۳۵ به وقت جهانی، اولین موفقیت. حملهکننده تابع lzReceive را در قرارداد EndpointV2 لایر زیرو فراخوانی کرد و یک کیف‌پول که توسط تورنادو کش تأمین مالی شده بود، یک بسته دادهٔ متقلبانهٔ بین‌زنجیره‌ای را به قرارداد پل‌زنی کلپ ارسال کرد. تأیید قرارداد با موفقیت انجام شد و ۱۱۶٬۵۰۰ rsETH به آدرس مهاجم آزاد شد. یک تراکنش واحد. تمیز

۱۸:۲۱ به وقت جهانی، توقف اضطراری چندامضایی کلپ قراردادهای اصلی rsETH را در شبکه اصلی و چندین لایه ۲ منجمد کرد. ۴۶ دقیقه پس از وقوع حمله.

در ساعت‌های 18:26 و 18:28 به وقت جهانی، مهاجم دو تلاش دیگر را آغاز کرد و هر بار تلاش نمود تا با یک بسته داده لایرزیرو، 40,000 rsETH (تقریباً 10 میلیون دلار) برداشت کند. هر دو برگشت داده شدند؛ قرارداد قبلاً منجمد شده بود، اما مهاجم آشکارا هنوز در تلاش بود تا نقدینگی باقی‌مانده را تخلیه کند.

از اولین موفقیت تا بیانیهٔ عمومی کلپ، تقریباً سه ساعت گذشت.

اولین پست ایکس کلپ تا ساعت ۲۰:۱۰ به وقت جهانی ارسال نشد و لحن آن بسیار محتاطانه بود: فعالیت مشکوک بین‌زنجیره‌ای شامل rsETH شناسایی شد، قراردادهای rsETH در شبکه اصلی و چندین لایه ۲ متوقف شدند و آن‌ها برای تحلیل ریشه‌ای علت با لایرزیرو، یونی‌چین، حسابرسان و کارشناسان امنیت خارجی همکاری می‌کردند.

با این حال، پیش از بیانیه رسمی، زک‌ایکس‌بی‌تی، یک کارآگاه آن-چین، پیش از ساعت ۳ بعد از ظهر به وقت شرقی در کانال تلگرام خود هشدار داد و شش آدرس کیف‌پول مرتبط با سرقت را فهرست کرد و اشاره کرد که کیف‌پول مهاجم پیش از آغاز اقدامات خود، از طریق تورنادو کش وجوهی را آماده کرده بود. او نام کلپ دائو را فاش نکرد، اما تحلیلگران آن-چین تنها در چند ساعت آدرس‌ها را به هم متصل کردند.

این یک عملیات از پیش طراحی‌شده بود که اجرا شد.