El protocolo de interoperabilidad descentralizado LayerZero afirma que una configuración inadecuada vinculada a la red de verificadores descentralizados (DVN) de Kelp permitió a actores maliciosos robar $290 millones de Kelp DAO, añadiendo que las señales preliminares apuntan a actores de amenazas vinculados a Corea del Norte.
Un atacante drenó aproximadamente 116,500 Restaked ETH (rsETH), con un valor de aproximadamente $292-$293 millones en ese momento, del puente rsETH de Kelp DAO impulsado por LayerZero el sábado.
LayerZero dijo el lunes que el exploit se originó por un único punto de falla en la configuración de Kelp, que dependía de un único DVN de LayerZero como la única ruta verificada, a pesar de que LayerZero les había advertido previamente contra esto.
En la práctica, eso significaba que Kelp dependía de una única ruta de verificación para mensajes cross-chain en lugar de requerir múltiples verificaciones independientes.
El exploit rápidamente desvió la atención de la causa técnica a la cuestión de quién debería absorber las pérdidas, mientras que las consecuencias se extendieron a Aave, donde el atacante utilizó rsETH como activos de garantía para pedir prestada liquidez real.
El valor total bloqueado (TVL) de Aave ha caído aproximadamente $8,9 mil millones a $17,5 mil millones al momento de escribir esto, después de que el explotador utilizara los fondos robados para pedir prestado en Aave, dejando aproximadamente $195 millones en "deuda incobrable", desencadenando retiros en el protocolo de préstamos.
Fuente: LayerZero
LayerZero dijo que el puente rsETH de Kelp dependía únicamente del DVN de LayerZero Labs, y argumentó que el incidente reflejaba una configuración de aplicación insegura en lugar de un compromiso de LayerZero mismo. La compañía dijo que ahora está instando a todas las aplicaciones que usan configuraciones DVN 1/1 a migrar a configuraciones multi-DVN y dejará de firmar o atestiguar mensajes para aplicaciones que conserven el diseño de verificador único.
Las pérdidas desatan una disputa de culpas tras el exploit de $290 millones de Kelp
Sin ningún plan de recuperación o compensación anunciado aún, los usuarios y observadores del mercado pasaron el lunes debatiendo si las pérdidas deberían recaer en Kelp DAO, LayerZero, Aave o los propios titulares de rsETH.
Yishi Wang, fundador y CEO de la billetera de hardware de código abierto OneKey, dijo que el mejor camino a seguir era negociar con el hacker, ofrecer una recompensa del 10% al 15%, y recuperar la mayor parte de los fondos.
"Si las negociaciones fallan, el fondo del ecosistema de LayerZero debería pagar la mayor parte de la cuenta: tiene los bolsillos más profundos y el mayor compromiso a largo plazo en el juego", escribió el fundador en una publicación de X del lunes, agregando que Kelp DAO está "quebrado" y podría compensarlo con tokens e ingresos futuros, o considerar vender el proyecto.
El fundador pseudónimo de la plataforma de análisis DeFiLlama, 0xngmi, delineó tres soluciones, incluida la opción de "socializar" las pérdidas entre todos los usuarios, "estafar a los titulares de rsETH en L2s", o intentar devolver los saldos de los titulares a un snapshot previo al hackeo, lo cual sería "muy difícil de hacer", escribió en una publicación de X del lunes.
Fuente: 0xngmi
Cointelegraph se comunicó con Aave para obtener comentarios, pero no había recibido respuesta al momento de la publicación.
Relacionado: El atacante de Hyperbridge acuña 1.000 millones de tokens Polkadot con puente entre cadenas en exploit de $237K
El exploit aumenta los riesgos de liquidación de Aave
Las preocupaciones de los inversores sobre el exploit de Kelp han reducido significativamente la liquidez de Ether (ETH) en Aave, el activo de garantía central del protocolo de préstamos.
Esta baja liquidez presenta un "riesgo crítico de seguridad donde las liquidaciones de garantía de ETH no pueden llevarse a cabo mientras los mercados están al 100% de utilización", dijo MoneySupply, el jefe pseudónimo de estrategia en el protocolo de préstamos competidor de Aave, Spark, en una publicación de X del sábado.
"Con las condiciones actuales de falta de liquidez en Aave, una caída del precio ETHUSD del 15-20% podría causar una acumulación significativa de deuda incobrable (además de cualquier problema potencial atribuible al exploit directo de rsETH)", dijo.
Fuente: Monetsupply
Aave dijo que inmediatamente congeló todo el rsETH en Aave v3 y V4, evitando más daños. Los propios contratos inteligentes de Aave no fueron explotados.
Magazine: Conozca a los detectives cripto onchain que combaten el crimen mejor que la policía
- #Hackers
- #Cibercrimen
- #Corea del Norte
- #Ciberseguridad
- #Hacks
- #DeFi
- #Aave
- #Estafas y Cibercrimen
