LayerZero заявляє, що налаштування Kelp спричинило експлойт, оскільки питання щодо втрат Aave зростають

Децентралізований протокол взаємодії LayerZero стверджує, що неналежне налаштування, пов'язане з децентралізованою мережею верифікаторів (DVN) Kelp, дозволило зловмисникам викрасти 290 мільйонів доларів у Kelp DAO, додаючи, що попередні ознаки вказують на загрози з боку Північної Кореї.

Зловмисник виснажив близько 116 500 Restaked ETH (rsETH) вартістю приблизно 292-293 мільйони доларів на той момент з кросчейн мосту rsETH Kelp DAO на базі LayerZero у суботу.

LayerZero заявив у понеділок, що експлойт виник через єдину точку відмови в налаштуваннях Kelp, яка покладалася на один DVN LayerZero як єдиний перевірений шлях, незважаючи на те, що LayerZero раніше радив їм не робити цього.

На практиці це означало, що Kelp покладався на єдиний шлях верифікації для кросчейн повідомлень, а не вимагав кількох незалежних перевірок.

Експлойт швидко перемістив увагу з технічної причини на питання про те, хто повинен поглинути збитки, тоді як наслідки поширилися на Aave, де зловмисник використовував rsETH як активи забезпечення для позики реальної ліквідності.

Загальна заблокована вартість (TVL) Aave впала приблизно на 8,9 мільярда доларів до 17,5 мільярда доларів на момент написання після того, як експлойтер використав викрадені кошти для позики на Aave, залишивши близько 195 мільйонів доларів "поганого боргу", що спричинило зняття коштів на протоколі кредитування.

LayerZero заявив, що кросчейн міст rsETH Kelp покладався виключно на DVN LayerZero Labs і стверджував, що інцидент відображав небезпечну конфігурацію застосунку, а не компрометацію самого LayerZero. Компанія заявила, що зараз закликає всі застосунки, які використовують налаштування DVN 1/1, перейти на конфігурації з кількома DVN і припинить підписувати або засвідчувати повідомлення для застосунків, які зберігають дизайн з одним верифікатором.

Збитки спричинили боротьбу звинувачень після експлойту Kelp на 290 мільйонів доларів

Оскільки жодного плану відновлення чи компенсації ще не оголошено, користувачі та спостерігачі ринку провели понеділок, обговорюючи, чи повинні збитки лягти на Kelp DAO, LayerZero, Aave або самих утримувачів rsETH.

Yishi Wang, засновник та генеральний директор гаманця з відкритим кодом OneKey, заявив, що найкращим шляхом вперед було б провести переговори з хакером, запропонувати винагороду від 10% до 15% та повернути основну частину коштів.

"Якщо переговори не вдадуться, екологічний фонд LayerZero повинен оплатити основну частину рахунку — у нього найбільші кошти і найбільша довгострокова зацікавленість у грі", — написав засновник у пості X у понеділок, додавши, що Kelp DAO є "банкрутом" і міг би компенсувати це токенами та майбутнім доходом або розглянути можливість продажу проєкту.

Псевдонімний засновник аналітичної платформи DeFiLlama, 0xngmi, окреслив три рішення, включаючи варіант "соціалізації" збитків серед усіх користувачів, "обдурити утримувачів rsETH на L2" або спробувати повернути баланси утримувачів до знімку перед злом, що було б "дуже важко зробити", написав він у пості X у понеділок.

Cointelegraph звернувся до Aave за коментарем, але не отримав відповіді до публікації.

Пов'язано: Зловмисник Hyperbridge карбує 1 млрд токенів Polkadot через міст в експлойті на 237 тисяч доларів

Експлойт підвищує ризики ліквідації Aave

Занепокоєння інвесторів щодо експлойту Kelp значно зменшили ліквідність Ether (ETH) на Aave, основному активі забезпечення протоколу кредитування.

Ця низька ліквідність представляє "критичний ризик безпеки, коли ліквідації забезпечення ETH не можуть відбутися, тоді як ринки використовуються на 100%", — заявив MoneySupply, псевдонімний керівник стратегії протоколу кредитування Spark, конкурента Aave, у пості X у суботу.

"За поточних умов низької ліквідності на Aave падіння ціни ETHUSD на 15-20% може спричинити значне накопичення поганого боргу (на додаток до будь-яких потенційних проблем, пов'язаних з прямим експлойтом rsETH)", — сказав він.

Aave заявив, що негайно заморозив всі rsETH в Aave v3 і V4, запобігаючи подальшій шкоді. Власні смарт-контракти Aave не були експлуатовані.

Журнал: Зустрічайте онлайн крипто-детективів, які борються зі злочинністю краще за поліцію