LayerZero twierdzi, że konfiguracja Kelp spowodowała exploit, podczas gdy narastają pytania o straty Aave

Protokół interoperacyjności LayerZero twierdzi, że nieodpowiednia konfiguracja związana z zdecentralizowaną siecią weryfikatorów (DVN) Kelp umożliwiła złośliwym aktorom kradzież 290 milionów dolarów z Kelp DAO, dodając, że wstępne oznaki wskazują na podmioty zagrażające powiązane z Koreą Północną.

Atakujący wyprowadził około 116 500 Restaked ETH (rsETH) o wartości około 292-293 milionów dolarów w tamtym czasie z mostu rsETH Kelp DAO opartego na LayerZero w sobotę.

LayerZero poinformował w poniedziałek, że exploit wynikał z pojedynczego punktu awarii w konfiguracji Kelp, która opierała się na pojedynczym LayerZero DVN jako jedynej zweryfikowanej ścieżce, mimo że LayerZero wcześniej odradzał im to rozwiązanie.

W praktyce oznaczało to, że Kelp polegał na pojedynczej ścieżce weryfikacji dla wiadomości międzyłańcuchowych, zamiast wymagać wielu niezależnych kontroli.

Exploit szybko przeniósł uwagę z przyczyny technicznej na pytanie, kto powinien zaabsorbować straty, podczas gdy reperkusje rozprzestrzeniły się na Aave, gdzie atakujący wykorzystał rsETH jako zabezpieczenie do pożyczenia rzeczywistej płynności.

Całkowita wartość zablokowana (TVL) Aave spadła o około 8,9 miliarda dolarów do 17,5 miliarda dolarów w momencie pisania tego tekstu po tym, jak wykorzystujący exploit użył skradzionych środków do pożyczania na Aave, pozostawiając około 195 milionów dolarów „złego długu", wywołując wypłaty w protokole pożyczkowym.

LayerZero poinformował, że most rsETH Kelp opierał się wyłącznie na LayerZero Labs DVN i argumentował, że incydent odzwierciedlał niebezpieczną konfigurację aplikacji, a nie kompromitację samego LayerZero. Firma stwierdziła, że teraz zachęca wszystkie aplikacje używające konfiguracji DVN 1/1 do migracji do konfiguracji multi-DVN i przestanie podpisywać lub poświadczać wiadomości dla aplikacji zachowujących projekt pojedynczego weryfikatora.

Straty wywołują spór o winę po exploicie Kelp za 290 milionów dolarów

Bez ogłoszonego jeszcze planu odzyskania lub rekompensaty, użytkownicy i obserwatorzy rynku spędzili poniedziałek na debatowaniu, czy straty powinny obciążyć Kelp DAO, LayerZero, Aave czy samych posiadaczy rsETH.

Yishi Wang, założyciel i CEO portfela sprzętowego open-source OneKey, powiedział, że najlepszą drogą naprzód jest negocjacja z hakerem, zaoferowanie nagrody w wysokości 10% do 15% i odzyskanie większości środków.

„Jeśli negocjacje zawiodą, fundusz ekosystemu LayerZero powinien pokryć większość rachunku — ma najgłębsze kieszenie i najbardziej długoterminowy interes w grze" — napisał założyciel w poniedziałkowym poście na X, dodając, że Kelp DAO jest „spłukany" i mógłby to zrekompensować tokenami i przyszłymi przychodami lub rozważyć sprzedaż projektu.

Pseudonimowy założyciel platformy analitycznej DeFiLlama, 0xngmi, przedstawił trzy rozwiązania, w tym opcję „uspołecznienia" strat wśród wszystkich użytkowników, „oszukania posiadaczy rsETH na L2" lub próbę przywrócenia sald posiadaczy do migawki sprzed włamania, co byłoby „bardzo trudne do wykonania" — napisał w poniedziałkowym poście na X.

Cointelegraph zwrócił się do Aave o komentarz, ale nie otrzymał odpowiedzi do czasu publikacji.

Powiązane: Atakujący Hyperbridge mintuje 1 mld pomostowanych tokenów Polkadot w exploicie za 237 tys. dolarów

Exploit podnosi ryzyko likwidacji Aave

Obawy inwestorów dotyczące exploitu Kelp znacznie zmniejszyły płynność Ether (ETH) na Aave, głównym aktywie zabezpieczającym protokołu pożyczkowego.

Ta niska płynność stwarza „krytyczne ryzyko bezpieczeństwa, w którym likwidacje zabezpieczenia ETH nie mogą mieć miejsca, podczas gdy rynki są wykorzystane w 100%" — powiedział MoneySupply, pseudonimowy szef strategii w konkurencyjnym protokole pożyczkowym Spark wobec Aave, w sobotnim poście na X.

„Przy obecnych warunkach braku płynności na Aave, spadek ceny ETHUSD o 15-20% może spowodować znaczącą akumulację złego długu (oprócz wszelkich potencjalnych problemów przypisywanych bezpośredniemu exploitowi rsETH)" — powiedział.

Aave poinformował, że natychmiast zamroził wszystkie rsETH w Aave v3 i V4, zapobiegając dalszym szkodom. Własne inteligentne kontrakty Aave nie zostały wykorzystane.

Magazyn: Poznaj onchainowych detektywów krypto walczących z przestępczością lepiej niż policja