Protocolul de interoperabilitate LayerZero susține că o configurare inadecvată legată de rețeaua de verificare descentralizată (DVN) a Kelp a permis actorilor malițioși să fure 290 de milioane de dolari de la Kelp DAO, adăugând că semnele preliminare indică actori de amenințare legați de Coreea de Nord.
Un atacator a drenat aproximativ 116.500 de Restaked ETH (rsETH), în valoare de aproximativ 292-293 de milioane de dolari la momentul respectiv, de pe bridge-ul rsETH al Kelp DAO, bazat pe LayerZero, sâmbătă.
LayerZero a declarat luni că exploitul a provenit dintr-un punct unic de eșec în configurarea Kelp, care s-a bazat pe un singur DVN LayerZero ca singura cale verificată, în ciuda faptului că LayerZero le-a sfătuit anterior împotriva acestei abordări.
„LayerZero și alte părți externe au comunicat anterior bunele practici privind diversificarea DVN către KelpDAO. În ciuda acestor recomandări, KelpDAO a ales să utilizeze o configurație DVN 1/1.”
În practică, aceasta însemna că Kelp se baza pe o singură cale de verificare pentru mesajele cross-chain, în loc să necesite multiple verificări independente.
Exploitul a mutat rapid atenția de la cauza tehnică la întrebarea cine ar trebui să absoarbă pierderile, în timp ce consecințele s-au răspândit la Aave, unde atacatorul a folosit rsETH ca garanție pentru a împrumuta lichiditate reală.
Valoarea totală blocată (TVL) a Aave a scăzut cu aproximativ 8,9 miliarde de dolari la 17,5 miliarde de dolari la momentul redactării, după ce exploatatorul a folosit fondurile furate pentru a împrumuta pe Aave, lăsând aproximativ 195 de milioane de dolari în „datorii neperformante”, declanșând retrageri din protocolul de împrumut.
LayerZero a declarat că bridge-ul rsETH al Kelp s-a bazat exclusiv pe DVN-ul LayerZero Labs și a susținut că incidentul a reflectat o configurație de aplicație nesigură, mai degrabă decât o compromitere a LayerZero în sine. Compania a spus că acum îndeamnă toate aplicațiile care utilizează configurații DVN 1/1 să migreze la configurații multi-DVN și va înceta să semneze sau să ateste mesaje pentru aplicațiile care își mențin designul cu un singur verificator.
Fără un plan de recuperare sau compensare anunțat încă, utilizatorii și observatorii pieței au petrecut ziua de luni dezbătând dacă pierderile ar trebui să cadă în sarcina Kelp DAO, LayerZero, Aave sau a deținătorilor de rsETH înșiși.
Yishi Wang, fondator și CEO al portofelului hardware open-source OneKey, a declarat că cea mai bună cale de urmat este negocierea cu hackerul, oferirea unei recompense de 10% până la 15% și recuperarea majorității fondurilor.
„Dacă negocierile eșuează, fondul ecologic al LayerZero ar trebui să suporte cea mai mare parte a costurilor – are cele mai adânci buzunare și cel mai mare interes pe termen lung”, a scris fondatorul într-o postare de luni pe X, adăugând că Kelp DAO este „falimentară” și ar putea compensa cu tokenuri și venituri viitoare, sau ar putea lua în considerare vânzarea proiectului.
Fondatorul pseudonim al platformei de analiză DeFiLlama, 0xngmi, a schițat trei soluții, inclusiv opțiunea de a „socializa” pierderile între toți utilizatorii, „a defavoriza deținătorii de rsETH pe L2-uri” sau de a încerca să readucă soldurile deținătorilor la o stare anterioară hack-ului, ceea ce ar fi „foarte greu de realizat”, a scris el într-o postare de luni pe X.
Cointelegraph a contactat Aave pentru un comentariu, dar nu a primit un răspuns până la publicare.
Legat: Atacatorul Hyperbridge mintă 1 miliard de tokenuri Polkadot bridged într-un exploit de 237K $
Îngrijorările investitorilor cu privire la exploitul Kelp au redus semnificativ lichiditatea Ether (ETH) pe Aave, activul colateral principal al protocolului de împrumut.
Această lichiditate scăzută prezintă un „risc critic de siguranță în care lichidările colateralului ETH nu pot avea loc în timp ce piețele sunt la o utilizare de 100%”, a declarat MoneySupply, șeful pseudonim al strategiei la Spark, un protocol de împrumut concurent Aave, într-o postare de sâmbătă pe X.
„Cu condițiile actuale de ilichiditate pe Aave, o scădere a prețului ETHUSD de 15-20% ar putea provoca o acumulare semnificativă de datorii neperformante (pe lângă orice probleme potențiale atribuibile exploitului direct rsETH)”, a spus el.
Aave a declarat că a înghețat imediat toate rsETH-urile din Aave v3 și V4, prevenind daune suplimentare. Contractele inteligente ale Aave în sine nu au fost exploatate.
Revista: Faceți cunoștință cu detectivii crypto on-chain care combat criminalitatea mai bine decât poliția
