Протокол сумісності LayerZero стверджує, що неналежне налаштування, пов’язане з децентралізованою мережею верифікації Kelp (DVN), дозволило зловмисникам викрасти 290 мільйонів доларів із Kelp DAO, додаючи, що попередні ознаки вказують на загрозливих акторів, пов’язаних із Північною Кореєю.
У суботу зловмисник витягнув близько 116 500 переставлених ETH (rsETH) на суму приблизно 292-293 мільйони доларів США з мосту rsETH на базі LayerZero від Kelp DAO.
LayerZero заявив у понеділок, що експлойт виник через єдину точку збою в налаштуванні Kelp, яка покладалася на єдиний перевірений шлях LayerZero DVN, незважаючи на те, що LayerZero раніше не радив їм цього робити.
“LayerZero та інші зовнішні сторони раніше повідомляли KelpDAO про найкращі методи диверсифікації DVN. Незважаючи на ці рекомендації, KelpDAO вирішив використовувати конфігурацію 1/1 DVN.”
На практиці це означало, що Kelp покладався на єдиний шлях перевірки для міжланцюжкових повідомлень, а не на кілька незалежних перевірок.
Експлойт швидко переключив увагу з технічної причини на питання про те, хто повинен покрити збитки, тоді як наслідки поширилися на Aave, де зловмисник використовував rsETH як заставу для запозичення реальної ліквідності.
Загальна заблокована вартість Aave (TVL) впала приблизно на 8,9 мільярда доларів США до 17,5 мільярда доларів США на момент написання статті після того, як експлуататор використав вкрадені кошти, щоб позичити на Aave, залишивши приблизно 195 мільйонів доларів США у вигляді «поганого боргу», що призвело до зняття коштів у протоколі кредитування.
LayerZero заявив, що міст rsETH від Kelp покладається виключно на LayerZero Labs DVN, і стверджував, що інцидент відображає небезпечну конфігурацію програми, а не компрометацію самого LayerZero. Компанія повідомила, що зараз закликає всі додатки, які використовують налаштування 1/1 DVN, перейти на конфігурації з декількома DVN і припинить підписувати або засвідчувати повідомлення для додатків, які зберігають дизайн єдиного верифікатора.
Збитки викликають боротьбу за звинувачення після експлойту Kelp на 290 мільйонів доларів
Оскільки план відновлення або компенсації ще не було оголошено, користувачі та спостерігачі ринку провели понеділок, обговорюючи, чи повинні збитки залишатися за власниками Kelp DAO, LayerZero, Aave або rsETH.
Іші Ван, засновник і генеральний директор апаратного гаманця OneKey з відкритим вихідним кодом, сказав, що найкращим шляхом було б домовитися з хакером, запропонувати винагороду від 10% до 15% і повернути основну частину коштів.
«Якщо переговори зазнають невдачі, екосистемний фонд LayerZero повинен оплатити основну частину рахунків — у нього найглибші кишені та найбільш довгострокова шкіра в грі», — написав засновник у понеділковій публікації X, додавши, що Kelp DAO «зламається» і може компенсувати це за допомогою токенів і майбутніх доходів або подумати про продаж проекту.
Псевдонімний засновник аналітичної платформи DeFiLlama, 0xngmi, окреслив три рішення, включаючи можливість «соціалізувати» збитки серед усіх користувачів, «власників rsETH на L2» або спробувати повернути баланси власників до моментального знімка до злому, що було б «дуже важко зробити», написав він у дописі X у понеділок.
Cointelegraph звернувся до Aave за коментарем, але не отримав відповіді від публікації.
Експлойт підвищує ризики ліквідації Aave
Занепокоєння інвесторів щодо експлойту Kelp значно зменшило ліквідність ефіру (ETH) на Aave, основному заставному активі протоколу кредитування.
Така низька ліквідність становить «критичний ризик для безпеки, коли ліквідація застави ETH не може відбутися, поки ринки завантажені на 100%,» сказав MoneySupply, керівник відділу стратегії конкурентного кредитного протоколу Aave Spark, у суботній публікації X.
«За поточних умов неліквідності на Aave падіння ціни ETHUSD на 15-20% може спричинити значне накопичення безнадійних боргів (на додаток до будь-яких потенційних проблем, пов’язаних із прямим використанням rsETH)», — сказав він.
Aave сказав, що негайно заморозив усі rsETH у Aave v3 та V4, запобігаючи подальшому пошкодженню. Власні смарт-контракти Aave не використовувалися.
