LayerZero заявляет, что установка Kelp вызвала эксплойт, поскольку вопросы о потерях Aave растут

Новости

Протокол совместимости LayerZero утверждает, что неадекватная настройка, связанная с децентрализованной сетью верификаторов Kelp (DVN), позволила злоумышленникам украсть 290 миллионов долларов из Kelp DAO, добавив, что предварительные признаки указывают на злоумышленников, связанных с Северной Кореей.

В субботу злоумышленник слил около 116 500 восстановленных ETH (rsETH) на сумму примерно 292–293 миллиона долларов на тот момент из моста rsETH компании Kelp DAO на базе LayerZero.

В понедельник LayerZero заявила, что эксплойт возник из-за единственной точки сбоя в установке Kelp, которая полагалась на единственный проверенный путь LayerZero DVN, несмотря на то, что LayerZero ранее советовал им не делать этого.

“LayerZero и другие внешние стороны ранее сообщали KelpDAO о передовом опыте диверсификации DVN. Несмотря на эти рекомендации, KelpDAO решила использовать конфигурацию 1/1 DVN”.

На практике это означало, что Kelp полагался на единый путь проверки для перекрестных сообщений, а не требовал нескольких независимых проверок.

Эксплойт быстро переключил внимание с технических причин на вопрос о том, кто должен покрыть убытки, в то время как последствия распространились на Aave, где злоумышленник использовал rsETH в качестве залога для заимствования реальной ликвидности.

Общая заблокированная стоимость Aave (TVL) упала примерно на 8,9 миллиардов долларов до 17,5 миллиардов долларов на момент написания после того, как эксплуататор использовал украденные средства для заимствования на Aave, оставив около 195 миллионов долларов в виде «безнадежных долгов», что привело к снятию средств по протоколу кредитования.

Источник: LayerZero

LayerZero заявил, что мост rsETH компании Kelp опирался исключительно на DVN LayerZero Labs, и заявил, что инцидент отражает небезопасную конфигурацию приложения, а не компрометацию самого LayerZero. Компания заявила, что теперь призывает все приложения, использующие настройки 1/1 DVN, перейти на конфигурации с несколькими DVN и прекратить подписывать или проверять сообщения для приложений, которые сохраняют структуру единого верификатора.

Потери разжигают борьбу за обвинения в эксплойте Kelp стоимостью 290 миллионов долларов

Поскольку план восстановления или компенсации еще не объявлен, пользователи и наблюдатели рынка провели понедельник, обсуждая, должны ли убытки возлагаться на самих держателей Kelp DAO, LayerZero, Aave или rsETH.

Иши Ван, основатель и генеральный директор аппаратного кошелька с открытым исходным кодом OneKey, сказал, что лучший путь вперед — это провести переговоры с хакером, предложить вознаграждение в размере от 10% до 15% и вернуть большую часть средств.

«Если переговоры потерпят неудачу, экосистемный фонд LayerZero должен взять на себя большую часть счетов — у него самые глубокие карманы и самая долгосрочная выгода в игре», — написал основатель в сообщении Monday X, добавив, что Kelp DAO «банкрот» и может компенсировать это за счет токенов и будущих доходов или рассмотреть возможность продажи проекта.

Псевдонимный основатель аналитической платформы DeFiLlama, 0xngmi, обрисовал три решения, включая возможность «социализировать» потери среди всех пользователей, «подключить держателей rsETH к L2» или попытаться вернуть балансы держателей в моментальный снимок, сделанный до взлома, что было бы «очень сложно сделать», написал он в сообщении Monday X.

Источник: 0xngmi

Коинтелеграф обратился к Ааве за комментариями, но не получил ответа от публикации.

Эксплойт повышает риски ликвидации Aave

Опасения инвесторов по поводу эксплойта Kelp значительно снизили ликвидность эфира (ETH) на Aave, основном залоговом активе протокола кредитования.

Такая низкая ликвидность представляет собой «критический риск для безопасности, поскольку ликвидация обеспечения ETH не может быть произведена, пока рынки загружены на 100%», — сказал MoneySupply, псевдонимный руководитель стратегии в протоколе конкурентного кредитования Aave Spark, в субботнем посте X.

«При текущих условиях неликвидности на Aave падение цены ETHUSD на 15-20% может привести к значительному накоплению безнадежных долгов (помимо любых потенциальных проблем, связанных с прямым эксплойтом rsETH)», — сказал он.

Источник: Monetsupply

Aave заявила, что немедленно заморозила весь rsETH в Aave v3 и V4, предотвращая дальнейший ущерб. Собственные смарт-контракты Aave не были использованы.

Источник

Автор и инвестор в криптовалюты, являюсь экспертом в этой области. Не только пишу статьи о криптовалютах и блокчейн технологиях, но и являюсь активным участником криптосообщества, занимающимся инвестированием в различные криптовалюты.

Использую знания и опыт в написании статей, чтобы помочь читателям понять сложные аспекты криптоиндустрии и принимать обоснованные решения относительно инвестирования в криптовалюты. Делюсь личными опытами и инсайтами, полученными в ходе инвестиций, чтобы помочь другим инвесторам делать обоснованные выборы.

Оцените автора
CryptoHamster.org
Добавить комментарий