在一次重大的去中心化金融(DeFi)安全事件中,由於KelpDAO橋接漏洞導致高達2.92億美元的損失,Lido EarnETH金庫面臨高達2160萬美元的風險敞口。Lido Lido DAO於2024年11月15日確認了這一事件,凸顯了去中心化金融協議內部相互關聯的風險。因此,該協議已暫時停止贖回,同時評估全部損失。值得注意的是,Lido的核心質押協議及其主要流動性質押代幣stETH和wstETH並未受到此次孤立事件的影響。
Lido EarnETH Vault 面臨直接風險
Lido EarnETH 金庫在Aave借貸平臺上持有以ETH為抵押的 rsETH 槓桿頭寸。該頭寸價值約 2160 萬美元,約佔金庫總資產的 9%。該頭寸中的 rsETH 代幣價值源自 KelpDAO 橋,而 KelpDAO 橋遭遇了災難性的攻擊。因此,這些代幣的價值和可贖回性目前正受到密切關注。Lido 團隊正在積極努力量化此次事件對金庫參與者的具體財務影響。
此外,該協議已啟動應急響應計劃。受影響的 EarnETH 金庫的贖回操作已暫停。此次暫停是為了對金庫的狀況進行全面的取證分析。團隊的目標是防止任何可能加劇損失的無序提款。同時,Lido 向用戶保證,其 300 萬美元的首損資金保障機制仍然有效。如果 rsETH 代幣無法挽回,該基金將用於彌補初始損失。
KelpDAO橋漏洞利用剖析
此次攻擊的根源可以追溯到跨鏈基礎設施協議 KelpDAO 橋。鏈上分析師報告稱,攻擊者利用了該橋智能合約代碼中的一個漏洞。該漏洞導致未經授權鑄造了 116,500 個 rsETH 代幣,價值約 2.92 億美元。隨後,攻擊者迅速抽乾了多個去中心化交易所的流動性。下表概述了此次攻擊的關鍵指標。
| 指標 | 細節 |
|---|---|
| 被利用的協議 | KelpDAO橋 |
| 提取的總價值 | 2.92億美元 |
| 涉及的代幣 | rsETH(116,500 個代幣) |
| 主要攻擊途徑 | 智能合約漏洞 |
| 事件發生日期 | 2024年11月初 |
此次事件凸顯了DeFi領域一個長期存在的挑戰:橋接安全。橋接器用於促進區塊鏈之間的資產轉移,因此常常成為高價值的攻擊目標。它們複雜的代碼庫和託管模型造成了多個潛在的攻擊面。KelpDAO漏洞事件延續了近期一系列重大橋接器攻擊事件的令人擔憂的趨勢,此前Ronin Bridge和Wormhole事件也曾發生過類似事件。
DeFi風險管理和協議間依賴性
這種情況展現了現代 DeFi 中存在的層層風險。Lido EarnETH 金庫並未遭受自身智能合約的直接攻擊,而是由於與Aave 的集成以及對 rsETH 的敞口,面臨交易對手風險和資產貶值風險。這種連鎖風險暴露了單一協議中的漏洞如何波及整個生態系統。風險管理人員強調,審計的重點不僅在於主要協議,還在於所有集成資產和合作夥伴的安全。
主要風險因素包括:
- 槓桿頭寸:金庫在Aave上的借貸行為加劇了潛在損失。
- 跨鏈資產依賴:對橋接資產(rsETH)的依賴引入了橋接特有的風險。
- 流動性依賴性:該頭寸的價值依賴於rsETH的功能性市場。
麗都的回應和用戶保護措施
Lido 的治理和運營團隊已採取多步驟緩解策略。首先,他們立即向社區通報了此次風險暴露情況。透明度是應對此類危機的關鍵要素。其次,他們啟動了臨時贖回暫停機制,以穩定金庫的賬目。第三,他們明確了風險範圍,確保用戶瞭解核心質押操作是安全的。
300萬美元的首損保障基金體現了一項積極主動的風險管理機制。該基金起到緩衝作用,在用戶資金受到影響之前吸收初始損失。它的存在表明Lido對用戶安全的承諾超越了單純的智能合約安全。在完成rsETH持倉的全面審計後,協議將決定該基金的最終用途。社區治理機構可以對任何後續行動或補償方案進行投票表決。
對流動性質押行業的更廣泛影響
此次事件考驗著流動性質押衍生品(LSD)生態系統的韌性。作為市場主導者,Lido 堅稱其核心質押協議是隔離的。市場反應將是投資者信心的關鍵指標。從歷史經驗來看,管理得當、溝通清晰且有專項保險的事件通常能將長期損失降到最低。Lido 將其主質押引擎與其輔助收益庫分離,是其有意為之的架構選擇,旨在隔離風險。
其他流動性質押協議可能也在重新評估自身的集成方案和風險敞口。此次事件可能會加速行業向以下方向發展的趨勢:
- 加強對第三方過橋服務提供商的盡職調查。
- 槓桿金庫採取更為保守的抵押品政策。
- 加大對協議自有保險或國庫擔保的投入。
結論
Lido EarnETH金庫遭受KelpDAO黑客攻擊,凸顯了去中心化金融(DeFi)領域錯綜複雜的風險網絡。儘管2160萬美元的損失數額巨大,但Lido的應對措施和現有保護機制旨在減輕用戶損失。Lido核心質押協議的完整性依然完好無損,這對整個以太坊生態系統至關重要。此次事件也警醒所有DeFi參與者,不僅要審視協議的直接安全性,還要仔細評估其金融體系中每一項資產和合作夥伴的穩健性。最終的解決方案將取決於被盜rsETH資產的可恢復性以及Lido風險管理框架的有效性。
常見問題解答
Q1:我的 stETH 或 wstETH 能免受此次攻擊嗎?
A1:是的。Lido 已明確聲明,此次事件與 Lido 核心質押協議 stETH 或 wstETH 無關,也不會對其造成影響。此次風險僅限於特定的收益型金庫產品。
Q2:什麼是 300 萬美元首損保障機制?
A2:這是一個專門的資金池,旨在吸收某些麗都產品的初期損失,避免影響用戶資金。它相當於針對特定風險情景的內部保險層。
Q3: EarnETH金庫的贖回何時恢復?
A3: Lido 已暫時停止贖回,以評估 rsETH 貶值的具體財務影響。團隊將在完成分析並確定必要步驟後公佈恢復贖回的時間表。
Q4:橋接攻擊如何影響使用不同協議的金庫?
A4:該金庫持有rsETH,這種代幣的價值和功能完全依賴於KelpDAO橋。當該橋被黑客攻擊且rsETH遭到利用時,該代幣的基本價值主張受到損害,影響了所有持有者,包括Aave等其他平臺上的金庫。
Q5: DeFi收益庫的用戶應該從這次事件中學到什麼?
A5:用戶必須瞭解任何收益策略背後的具體資產和協議。風險不僅包括金庫自身的智能合約,還包括其持有的資產(例如橋接代幣)以及與其集成的平臺(例如借貸市場)的安全性。分散投資和了解交易對手風險至關重要。
