Протокол совместимости LayerZero утверждает, что неадекватная настройка, связанная с децентрализованной сетью верификаторов Kelp (DVN), позволила злоумышленникам украсть 290 миллионов долларов из Kelp DAO, добавив, что предварительные признаки указывают на злоумышленников, связанных с Северной Кореей.
В субботу злоумышленник слил около 116 500 восстановленных ETH (rsETH) на сумму примерно 292–293 миллиона долларов на тот момент из моста rsETH компании Kelp DAO на базе LayerZero.
В понедельник LayerZero заявила, что эксплойт возник из-за единственной точки сбоя в установке Kelp, которая полагалась на единственный проверенный путь LayerZero DVN, несмотря на то, что LayerZero ранее советовал им не делать этого.
“LayerZero и другие внешние стороны ранее сообщали KelpDAO о передовом опыте диверсификации DVN. Несмотря на эти рекомендации, KelpDAO решила использовать конфигурацию 1/1 DVN”.
На практике это означало, что Kelp полагался на единый путь проверки для перекрестных сообщений, а не требовал нескольких независимых проверок.
Эксплойт быстро переключил внимание с технических причин на вопрос о том, кто должен покрыть убытки, в то время как последствия распространились на Aave, где злоумышленник использовал rsETH в качестве залога для заимствования реальной ликвидности.
Общая заблокированная стоимость Aave (TVL) упала примерно на 8,9 миллиардов долларов до 17,5 миллиардов долларов на момент написания после того, как эксплуататор использовал украденные средства для заимствования на Aave, оставив около 195 миллионов долларов в виде «безнадежных долгов», что привело к снятию средств по протоколу кредитования.
LayerZero заявил, что мост rsETH компании Kelp опирался исключительно на DVN LayerZero Labs, и заявил, что инцидент отражает небезопасную конфигурацию приложения, а не компрометацию самого LayerZero. Компания заявила, что теперь призывает все приложения, использующие настройки 1/1 DVN, перейти на конфигурации с несколькими DVN и прекратить подписывать или проверять сообщения для приложений, которые сохраняют структуру единого верификатора.
Потери разжигают борьбу за обвинения в эксплойте Kelp стоимостью 290 миллионов долларов
Поскольку план восстановления или компенсации еще не объявлен, пользователи и наблюдатели рынка провели понедельник, обсуждая, должны ли убытки возлагаться на самих держателей Kelp DAO, LayerZero, Aave или rsETH.
Иши Ван, основатель и генеральный директор аппаратного кошелька с открытым исходным кодом OneKey, сказал, что лучший путь вперед — это провести переговоры с хакером, предложить вознаграждение в размере от 10% до 15% и вернуть большую часть средств.
«Если переговоры потерпят неудачу, экосистемный фонд LayerZero должен взять на себя большую часть счетов — у него самые глубокие карманы и самая долгосрочная выгода в игре», — написал основатель в сообщении Monday X, добавив, что Kelp DAO «банкрот» и может компенсировать это за счет токенов и будущих доходов или рассмотреть возможность продажи проекта.
Псевдонимный основатель аналитической платформы DeFiLlama, 0xngmi, обрисовал три решения, включая возможность «социализировать» потери среди всех пользователей, «подключить держателей rsETH к L2» или попытаться вернуть балансы держателей в моментальный снимок, сделанный до взлома, что было бы «очень сложно сделать», написал он в сообщении Monday X.
Коинтелеграф обратился к Ааве за комментариями, но не получил ответа от публикации.
Эксплойт повышает риски ликвидации Aave
Опасения инвесторов по поводу эксплойта Kelp значительно снизили ликвидность эфира (ETH) на Aave, основном залоговом активе протокола кредитования.
Такая низкая ликвидность представляет собой «критический риск для безопасности, поскольку ликвидация обеспечения ETH не может быть произведена, пока рынки загружены на 100%», — сказал MoneySupply, псевдонимный руководитель стратегии в протоколе конкурентного кредитования Aave Spark, в субботнем посте X.
«При текущих условиях неликвидности на Aave падение цены ETHUSD на 15-20% может привести к значительному накоплению безнадежных долгов (помимо любых потенциальных проблем, связанных с прямым эксплойтом rsETH)», — сказал он.
Aave заявила, что немедленно заморозила весь rsETH в Aave v3 и V4, предотвращая дальнейший ущерб. Собственные смарт-контракты Aave не были использованы.
