Kelp DAO 下ของโทเค็นที่มีการนำไปจำนำต่อในการถือครองสภาพคล่อง rsETH บริดจ์ข้ามเชนของ LayerZero ถูกแฮ็กเมื่อวันที่ 19 เมษายน (วันเสาร์) ซึ่งถือเป็นเหตุการณ์ด้านความปลอดภัย DeFi ที่ใหญ่ที่สุดจนถึงปัจจุบันในปี 2026 มีการใช้มาตรการฉุกเฉินจากหลายโปรโตคอล DeFi หลักอย่างต่อเนื่อง โดยการระงับหรือหยุดฟังก์ชันที่เกี่ยวข้องกับ LayerZero
กลไกการโจมตี: ปลอมแปลงข้อความข้ามเชนเพื่อหลีกเลี่ยงการตรวจสอบของสัญญาบริดจ์
หัวใจของการโจมตีครั้งนี้อยู่ที่ช่องโหว่ในการยืนยันข้อความของ LayerZero ผู้โจมตีปลอมแปลงข้อความข้ามเชนที่ดูเหมือนถูกต้อง ทำให้สัญญาบริดจ์เข้าใจผิดว่าได้รับคำขอที่มีผล ส่งผลให้มีการปล่อย rsETH จำนวน 116,500 เหรียญ ไปยังที่อยู่ที่ผู้โจมตีควบคุม รูปแบบการโจมตีนี้ไม่ได้ทำลายสัญญาอัจฉริยะของโปรโตคอลการให้กู้ยืมอย่าง Aave โดยตรง—สิ่งที่ผู้โจมตีกระทำคือเพียงนำสินทรัพย์ที่ถูกขโมยไปเป็น “หลักประกัน” ที่ดูเหมือนถูกต้อง แล้วฝากเข้าสู่ระบบ จากนั้นจึงสามารถกู้ยืม WETH จำนวนมากได้ ทำให้โปรโตคอลที่เกี่ยวข้องเผชิญความเสี่ยงหนี้เสียที่ไม่สามารถเรียกคืนได้
ภาพรวมมาตรการฉุกเฉินที่โปรโตคอลสำคัญแต่ละแห่งใช้
Aave:rsETH บน V3 และ V4 ยังคงถูกระงับ;rsETH บน Ethereum mainnet มีการสนับสนุนหลักประกันครบถ้วน;เงินสำรอง WETH ในตลาดที่ได้รับผลกระทบ (Ethereum, Arbitrum, Base, Mantle, Linea) ถูกระงับพร้อมกัน;กำลังประเมินแนวทางแก้ไขที่อาจเกิดขึ้นอย่างจริงจัง
Ethena:ขยายเวลาการระงับของบริดจ์ LayerZero OFT;ยืนยันว่าอัตราการรองรับหลักประกัน USDe ยังคงอยู่ที่ 100% ขึ้นไป
Fluid:เปิดตัวสัญญาการไถ่ถอน aWETH เพื่อให้ผู้กู้ยืม ETH สามารถไถ่ถอนเป็น wstETH หรือ weETH ได้ คืนสภาพคล่องและลดความเสี่ยงจากการถูกชำระบัญชี โดยข้อจำกัดความจุเริ่มต้นอยู่ที่ 1 พันล้านดอลลาร์ ETH
Morpho:ระงับบริดจ์ OFT ของ MORPHO บน Arbitrum;ความปลอดภัยของสัญญาอัจฉริยะดี ความเสี่ยงอยู่ที่ราว 1 ล้านดอลลาร์เท่านั้น (กระจายอยู่ใน 2 ตลาดที่แยกจากกัน);การออกแบบตลาดที่แยกอย่างสมบูรณ์ช่วยให้ Vault อื่นๆ ไม่ได้รับผลกระทบ
Curve Finance:ระงับโครงสร้างพื้นฐานของ LayerZero โดยส่งผลกระทบต่อการบริดจ์ของ CRV จากเครือข่ายอย่าง BNB, Sonic, Avalanche และการบริดจ์อย่างรวดเร็วของ crvUSD (บริดจ์แบบ L2 ช้า ยังคงทำงานตามปกติ)
Reserve:ระงับการสร้างเหรียญ eUSD และ USD3 ชั่วคราว รวมถึงการรีบาลานซ์และการปลดการจำนำ RSR ฟังก์ชันการไถ่ถอนเปิดให้ใช้งานได้ตามปกติ;ETH+ และ bsdETH ไม่มีหลักประกัน rsETH จึงเป็นความเสี่ยงเป็นศูนย์
ยืนยันโปรโตคอลที่ไม่ได้รับผลกระทบ:Maple Finance (syrupUSDC, syrupUSDT ไม่ได้รับผลกระทบ), ecosystem ของ Polygon (รวมถึง Katana, Vaultbridge), และ EtherFi protocol liquidty vaults ยืนยันว่าไม่มีความเสี่ยงต่อการสูญเสีย Hyperwave (ecosystem ของ Hyperliquid) ในฐานะมาตรการป้องกันได้ระงับการบริดจ์ของ LayerZero
คำแถลงอย่างเป็นทางการของ LayerZero และแผนงานต่อจากนี้
LayerZero ระบุว่า ได้รับทราบโดยครบถ้วนถึงเหตุการณ์ช่องโหว่ของ rsETH และได้ทำการซ่อมแซมร่วมกับ KelpDAO อย่างต่อเนื่องนับตั้งแต่เหตุการณ์เกิดขึ้น พร้อมทั้งยืนยันว่าแอปพลิเคชันอื่นๆ ยังคงปลอดภัย LayerZero วางแผนว่าจะหลังจากได้รับข้อมูลทั้งหมดแล้ว จะร่วมกับ KelpDAO ออกเผยแพร่รายงานการวิเคราะห์หลังเหตุการณ์ (post-mortem) แบบครบถ้วน
คำถามที่พบบ่อย
การโจมตีที่บริดจ์ LayerZero ของ rsETH ถูกดำเนินการอย่างไรโดยเฉพาะ?
ผู้โจมตีปลอมแปลงข้อความข้ามเชนของ LayerZero ทำให้สัญญาบริดจ์เข้าใจผิดว่าเป็นคำขอที่ถูกต้อง และปล่อย rsETH จำนวน 116,500 เหรียญ ไปยังที่อยู่ที่ผู้โจมตีควบคุม การโจมตีไม่ได้ทำลายโปรโตคอลการให้กู้ยืมเอง เช่น Aave โดยตรง แต่เป็นการใช้ rsETH ที่ถูกขโมยเป็นหลักประกันเพื่อกู้ยืม WETH และทำให้เกิดหนี้เสียที่ไม่มีหลักประกันในสมุดบัญชีเงินกู้ของโปรโตคอล
ปัจจุบัน rsETH บน Aave มีสถานะอย่างไร และเมื่อใดอาจกลับมาใช้งานได้?
rsETH บน Aave V3 และ V4 ยังคงอยู่ในสถานะถูกระงับ WETH ในตลาด Ethereum, Arbitrum, Base, Mantle, Linea ถูกระงับพร้อมกัน Aave ระบุว่า rsETH บน Ethereum mainnet มีการรองรับหลักประกันครบถ้วน แต่ยังไม่ได้ประกาศไทม์ไลน์การฟื้นฟูที่ชัดเจน ปัจจุบันกำลังประเมินแนวทางแก้ไขที่อาจเกิดขึ้นอย่างจริงจัง
โปรโตคอลใดบ้างที่ยืนยันว่าไม่ได้รับผลกระทบจากเหตุการณ์นี้?
ecosystem ของ Polygon (รวมถึง Agglayer, Katana, Vaultbridge), EtherFi protocol liquidty vaults, syrupUSDT และ syrupUSDC ของ Maple Finance และ ETH+ กับ bsdETH ของ Reserve ล้วนยืนยันว่าไม่มีการถือครองความเสี่ยงแบบ rsETH Morpho ของ Vault อื่นๆ ทั้งหมดก็ยืนยันว่าไม่ได้รับผลกระทบเช่นกันจากการออกแบบตลาดที่แยก โดยมีเพียง 2 ตลาดที่แยกซึ่งมีความเสี่ยงจำกัดอยู่ที่ราว 1 ล้านดอลลาร์เท่านั้น
btc.bar.articles
โปรดสังเกตเนื้อหาที่ลงนาม! Vercel ถูกแฮ็กเรียกค่าไถ่ 2 ล้านดอลลาร์ และมีการเตือนภัยเกี่ยวกับความปลอดภัยของส่วนหน้าในโปรโตคอลการเข้ารหัส
แพลตฟอร์มการพัฒนาแบบคลาวด์ Vercel ถูกแฮ็กเมื่อวันที่ 19 เมษายน ผู้โจมตีได้ใช้เครื่องมือ AI ของบุคคลที่สามที่พนักงานใช้งานอยู่เพื่อเข้าถึงสิทธิ์ และข่มขู่เรียกค่าไถ่เป็นเงิน 2 ล้านดอลลาร์ แม้ว่าจะไม่มีการเข้าถึงข้อมูลอ่อนไหว แต่ข้อมูลอื่นอาจถูกนำไปใช้แล้ว เหตุการณ์ดังกล่าวทำให้ชุมชนคริปโตเกิดความกังวลด้านความปลอดภัย โดยขณะนี้ Vercel กำลังทำการตรวจสอบและแนะนำให้ผู้ใช้เปลี่ยนคีย์
ChainNewsAbmedia1 ชั่วโมง ที่แล้ว
KelpDAO สูญเสีย $290M ในการโจมตีของ Lazarus Group ต่อ LayerZero
KelpDAO เผชิญกับการขาดทุน $290 ล้านดอลลาร์จากการละเมิดความปลอดภัยที่ซับซ้อนซึ่งเชื่อมโยงกับกลุ่ม Lazarus การโจมตีใช้ประโยชน์จากช่องโหว่ด้านการกำหนดค่าภายในระบบการยืนยันของพวกเขา และชี้ให้เห็นถึงความเสี่ยงของการพึ่งพาการตั้งค่าการยืนยันแบบจุดเดียว ผู้เชี่ยวชาญในอุตสาหกรรมเน้นย้ำถึงความจำเป็นในการยกระดับการกำหนดค่าความปลอดภัยและการยืนยันหลายชั้นเพื่อป้องกันเหตุการณ์ในอนาคต
CryptoFrontier1 ชั่วโมง ที่แล้ว
LayerZero ตอบสนองต่อเหตุการณ์ 292 ล้านของ Kelp DAO: ระบุว่า Kelp ได้ตั้งค่าการกำหนดค่า 1-of-1 DVN ตามที่เลือกเอง และแฮกเกอร์คือ Lazarus จากเกาหลีเหนือ
LayerZero ได้ออกแถลงการณ์เกี่ยวกับเหตุการณ์ถูกโจมตีมูลค่า 292 ล้านดอลลาร์สหรัฐที่ Kelp DAO โดยระบุโทษว่า การตั้งค่าแบบเลือกเอง 1-of-1 DVN ของ Kelp ทำให้เหตุการณ์นี้เป็นไปได้ โดยผู้โจมตีคือกลุ่ม Lazarus ของเกาหลีเหนือ LayerZero ย้ำว่าเหตุการณ์นี้มีสาเหตุมาจากการเลือกค่าคอนฟิก และจะไม่สนับสนุนการตั้งค่าที่มีความเปราะบางลักษณะนี้อีกต่อไป นอกจากนี้ ความรับผิดยังคงเป็นที่ถกเถียง และยังไม่ได้เสนอแนวทางการชดเชย
ChainNewsAbmedia1 ชั่วโมง ที่แล้ว
แฮกเกอร์ DeFi ขโมยเงิน 600 ล้านดอลลาร์ในเดือนเมษายน โดย Kelp DAO และ Drift คิดเป็น 95% ของความสูญเสียรายเดือน
ในเดือนเมษายน 2026 ภายในเวลาเพียง 20 วัน โปรโตคอลการเข้ารหัสสูญเสียมากกว่า 606 ล้านดอลลาร์สหรัฐจากการโจมตีของแฮกเกอร์ ซึ่งกลายเป็นสถิติการขาดทุนรายเดือนที่รุนแรงที่สุดนับตั้งแต่เหตุข้อมูลรั่วไหลมูลค่า 1.4 พันล้านดอลลาร์สหรัฐของตลาดซื้อขายแลกเปลี่ยนในเดือนกุมภาพันธ์ 2025 KelpDAO และ Drift Protocol การโจมตีทั้งสองครั้งรวมกันคิดเป็น 95% ของการสูญเสียในเดือนเมษายน และคิดเป็น 75% ของการสูญเสียรวม 771.8 ล้านดอลลาร์สหรัฐ ณ ปัจจุบันในปี 2026
MarketWhisper2 ชั่วโมง ที่แล้ว
การละเมิดของ Vercel เชื่อมโยงกับการถูกบุกรุกของเครื่องมือ AI Context.ai เพิ่มความเสี่ยงสำหรับส่วนหน้าแพลตฟอร์มคริปโต
Vercel ยืนยันว่าการละเมิดความปลอดภัยเกิดจากเครื่องมือ AI ที่ถูกบุกรุก ส่งผลให้มีการขโมยข้อมูลพนักงานและข้อมูลลูกค้า เหตุการณ์นี้ก่อให้เกิดความเสี่ยงต่อระบบนิเวศ Web3 และผู้โจมพยายามที่จะขายข้อมูลที่ถูกขโมยในราคา $2 ล้านดอลลาร์ Vercel กำลังจัดการสถานการณ์ร่วมกับหน่วยงานบังคับใช้กฎหมายและผู้เชี่ยวชาญด้านการตอบสนองต่อเหตุการณ์
GateNews2 ชั่วโมง ที่แล้ว
Ripple CTO: การใช้ประโยชน์จาก Kelp DAO สะท้อนถึงการแลกเปลี่ยนด้านความปลอดภัยของบริดจ์
David Schwartz ผู้ร่วมก่อตั้งและอดีต CTO ของ Ripple ได้วิเคราะห์ช่องโหว่ด้านความปลอดภัยของบริดจ์หลังการเอ็กซ์พลอยต์ของ $292 ล้าน Kelp DAO เขาสังเกตว่าผู้ให้บริการให้ความสำคัญกับความสะดวกสบายมากกว่าความปลอดภัยที่แข็งแกร่ง ส่งผลให้ความสามารถในการป้องกันที่จำเป็นถูกบั่นทอน การละเมิดของ Kelp DAO เกิดจากการรั่วไหลของคีย์ส่วนตัว ซึ่งเลวร้ายลงจากการตั้งค่าความปลอดภัยที่ทำให้ง่ายขึ้นในการใช้งาน LayerZero ของพวกเขา
CryptoFrontier5 ชั่วโมง ที่แล้ว
