Протокол взаимодействия LayerZero утверждает, что неадекватная настройка, связанная с децентрализованной сетью верификаторов (DVN) Kelp, позволила злоумышленникам похитить 290 миллионов долларов из Kelp DAO, добавив, что предварительные признаки указывают на угрожающих акторов, связанных с Северной Кореей.
В субботу злоумышленник вывел около 116 500 rsETH (Restaked ETH), стоимостью до 293 миллионов долларов на тот момент, с rsETH-моста Kelp DAO, работающего на LayerZero.
LayerZero сообщила в понедельник, что уязвимость возникла из-за единой точки отказа в настройках Kelp, которая полагалась на единственный LayerZero DVN как на единственный подтвержденный путь, несмотря на то, что LayerZero ранее предостерегала их от этого.
“LayerZero и другие внешние стороны ранее сообщали о лучших практиках диверсификации DVN KelpDAO. Несмотря на эти рекомендации, KelpDAO выбрала конфигурацию DVN 1/1.”
На практике это означало, что Kelp полагалась на единый путь верификации для межсетевых сообщений, вместо того чтобы требовать несколько независимых проверок.
Уязвимость быстро переключила внимание с технической причины на вопрос о том, кто должен поглотить убытки, в то время как последствия распространились на Aave, где злоумышленник использовал rsETH в качестве залога для заимствования реальной ликвидности.
Общая стоимость заблокированных средств (TVL) Aave снизилась примерно на 8,9 миллиарда долларов до 17,5 миллиарда долларов на момент написания статьи, после того как эксплуататор использовал украденные средства для заимствования на Aave, что привело к образованию около 195 миллионов долларов «плохого долга» и спровоцировало снятие средств с кредитного протокола.
Источник:LayerZero
LayerZero заявила, что rsETH-мост Kelp полагался исключительно на LayerZero Labs DVN, и утверждала, что инцидент отражает небезопасную конфигурацию приложения, а не компрометацию LayerZero. Компания заявила, что теперь настоятельно рекомендует всем приложениям, использующим конфигурации DVN 1/1, перейти на многопоточные конфигурации DVN и прекратит подписывать или подтверждать сообщения для приложений, которые сохраняют дизайн единого верификатора.
Убытки спровоцировали спор о вине после эксплойта Kelp на 290 миллионов долларов
Поскольку план восстановления или компенсации еще не объявлен, пользователи и наблюдатели рынка в понедельник обсуждали, должны ли убытки лежать на Kelp DAO, LayerZero, Aave или на самих держателях rsETH.
Иши Ван, основатель и генеральный директор кошелька с открытым исходным кодом OneKey, заявила, что лучший путь вперед — это переговоры с хакером, предложение вознаграждения в размере 10–15% и возврат большей части средств.
“Если переговоры не увенчаются успехом, экосистемный фонд LayerZero должен покрыть большую часть расходов — у него самые глубокие карманы и наибольшая заинтересованность в долгосрочной перспективе”, — написал основатель в понедельничном посте в X здесь, добавив, что Kelp DAO «обанкротилась» и может компенсировать это токенами и будущими доходами или рассмотреть возможность продажи проекта.
Псевдонимный основатель аналитической платформы DeFiLlama, 0xngmi, очертил три решения, включая возможность «распределения» убытков между всеми пользователями, «обмана» держателей rsETH в L2 или попытку вернуть балансы держателей к снимку до взлома, что было бы «очень сложно сделать», — написал он в понедельничном посте в X здесь.
Источник:0xngmi
Cointelegraph обратился в Aave за комментариями, но не получил ответа к моменту публикации.
Эксплойт повышает риски ликвидации Aave
Опасения инвесторов по поводу эксплойта Kelp значительно снизили ликвидность Ether (ETH) на Aave, основном залоговом активе кредитного протокола.
Эта низкая ликвидность представляет собой «критический риск для безопасности, поскольку ликвидация залога ETH не может произойти, когда рынки находятся на 100% использовании», — заявил MoneySupply, псевдонимный руководитель отдела стратегии конкурирующего кредитного протокола Spark, в своем посте в X в субботу здесь.
“При текущих условиях неликвидности на Aave, падение цены ETHUSD на 15–20% может привести к значительному накоплению плохого долга (в дополнение к любым потенциальным проблемам, связанным с прямым эксплойтом rsETH)”, — сказал он.
Источник:Monetsupply
Aave заявила, что немедленно заморозила весь rsETH в Aave v3 и V4, предотвратив дальнейший ущерб. Собственные смарт-контракты Aave не были взломаны.
