Protocolul de interoperabilitate LayerZero susține că o configurație inadecvată legată de rețeaua de verificatori descentralizați (DVN) a Kelp a permis actorilor rău intenționați să fure 290 de milioane de dolari de la Kelp DAO, adăugând că semnele preliminare indică actori amenințători legați de Coreea de Nord.
Un atacator a sustras aproximativ 116.500 Restaked ETH (rsETH), în valoare de aproximativ 292-293 de milioane de dolari la acel moment, de la podul rsETH al Kelp DAO alimentat de LayerZero, sâmbătă.
LayerZero a declarat luni că exploatarea a provenit dintr-un singur punct de eșec în configurația Kelp, care se baza pe un singur DVN LayerZero ca singură cale verificată, în ciuda faptului că LayerZero le-a recomandat anterior să nu facă acest lucru.
În practică, acest lucru însemna că Kelp se baza pe o singură cale de verificare pentru mesajele cross-chain, în loc să solicite verificări independente multiple.
Exploatarea a mutat rapid atenția de la cauza tehnică la întrebarea cine ar trebui să absoarbă pierderile, în timp ce consecințele s-au extins în Aave, unde atacatorul a folosit rsETH ca garanție pentru a împrumuta lichiditate reală.
Valoarea totală blocată (TVL) a Aave a scăzut cu aproximativ 8,9 miliarde de dolari la 17,5 miliarde de dolari în momentul scrierii, după ce exploatatorul a folosit fondurile furate pentru a împrumuta pe Aave, lăsând aproximativ 195 de milioane de dolari în „datorii neperformante", declanșând retrageri pe protocolul de creditare.
Sursa: LayerZero
LayerZero a declarat că podul rsETH al Kelp se baza exclusiv pe LayerZero Labs DVN și a susținut că incidentul reflecta o configurație nesigură a aplicației, mai degrabă decât o compromitere a LayerZero însuși. Compania a spus că îndeamnă acum toate aplicațiile care folosesc configurații DVN 1/1 să migreze la configurații multi-DVN și va înceta să semneze sau să ateste mesaje pentru aplicațiile care păstrează designul cu un singur verificator.
Pierderile declanșează o luptă de învinuiri după exploatarea Kelp de 290 de milioane de dolari
Fără niciun plan de recuperare sau compensare anunțat încă, utilizatorii și observatorii de piață au petrecut ziua de luni dezbătând dacă pierderile ar trebui să revină Kelp DAO, LayerZero, Aave sau deținătorilor de rsETH înșiși.
Yishi Wang, fondator și CEO al portofelului hardware open-source OneKey, a declarat că cea mai bună cale de urmat este să negocieze cu hackerul, să ofere o recompensă de 10% până la 15% și să recupereze cea mai mare parte a fondurilor.
„Dacă negocierile eșuează, fondul ecosistemului LayerZero ar trebui să suporte cea mai mare parte a facturii — are cele mai adânci buzunare și cel mai mult interes pe termen lung în joc", a scris fondatorul într-o postare X de luni, adăugând că Kelp DAO este „falită" și ar putea să compenseze cu tokenuri și venituri viitoare sau să ia în considerare vânzarea proiectului.
Fondatorul pseudonim al platformei de analiză DeFiLlama, 0xngmi, a prezentat trei soluții, inclusiv opțiunea de a „socializa" pierderile între toți utilizatorii, „a înșela deținătorii de rsETH pe L2" sau a încerca să returneze soldurile deținătorilor la o instantanee pre-hack, ceea ce ar fi „foarte greu de făcut", a scris el într-o postare X de luni.
Sursa: 0xngmi
Cointelegraph a contactat Aave pentru un comentariu, dar nu a primit un răspuns până la publicare.
Articol conexe: Atacatorul Hyperbridge creează 1 miliard de tokenuri Polkadot bridged într-o exploatare de 237.000 de dolari
Exploatarea crește riscurile de lichidare Aave
Preocupările investitorilor cu privire la exploatarea Kelp au redus semnificativ lichiditatea Ether (ETH) pe Aave, activul de garanție de bază al protocolului de creditare.
Această lichiditate scăzută prezintă un „risc critic de siguranță în care lichidările garanției ETH nu pot avea loc în timp ce piețele sunt la 100% utilizare", a declarat MoneySupply, șeful pseudonim al strategiei la protocolul de creditare Spark, concurent al Aave, într-o postare X de sâmbătă.
„Cu condițiile actuale de illichiditate pe Aave, o scădere a prețului ETHUSD de 15-20% ar putea cauza o acumulare semnificativă de datorii neperformante (pe lângă orice probleme potențiale atribuibile exploatării directe a rsETH)", a spus el.
Sursa: Monetsupply
Aave a declarat că a înghețat imediat toate rsETH în Aave v3 și V4, prevenind daune suplimentare. Propriile contracte inteligente ale Aave nu au fost exploatate.
Revistă: Cunoașteți detectivii crypto onchain care luptă împotriva criminalității mai bine decât polițiștii
- #Hackeri
- #Criminalitate cibernetică
- #Coreea de Nord
- #Securitate cibernetică
- #Hack-uri
- #DeFi
- #Aave
- #Escrocherii & Criminalitate cibernetică
