Le Protocole d'interopérabilité décentralisé LayerZero affirme qu'une configuration inadéquate liée au réseau de vérificateurs décentralisés (DVN) de Kelp a permis à des acteurs malveillants de voler 290 millions de dollars à Kelp DAO, ajoutant que les premiers signes indiquent des acteurs de menace liés à la Corée du Nord.
Un attaquant a drainé environ 116 500 Restaked ETH (rsETH), d'une valeur d'environ 292 à 293 millions de dollars à l'époque, du bridge rsETH alimenté par LayerZero de Kelp DAO samedi.
LayerZero a déclaré lundi que l'exploit provenait d'un point de défaillance unique dans la configuration de Kelp, qui reposait sur un seul DVN LayerZero comme seul chemin vérifié, bien que LayerZero les ait précédemment mis en garde contre cela.
En pratique, cela signifiait que Kelp s'appuyait sur un seul chemin de vérification pour les messages cross-chain plutôt que d'exiger plusieurs vérifications indépendantes.
L'exploit a rapidement déplacé l'attention de la cause technique vers la question de savoir qui devrait absorber les pertes, tandis que les retombées se sont propagées à Aave, où l'attaquant a utilisé rsETH comme Actifs collatéraux / Actifs de garantie pour emprunter de la liquidité réelle.
La valeur totale verrouillée (TVL) d'Aave a chuté d'environ 8,9 milliards de dollars à 17,5 milliards de dollars au moment de la rédaction après que l'exploiteur a utilisé les fonds volés pour emprunter sur Aave, laissant environ 195 millions de dollars de « créances douteuses », déclenchant des retraits sur le protocole de prêt.
Source : LayerZero
LayerZero a déclaré que le bridge rsETH de Kelp reposait uniquement sur le DVN de LayerZero Labs, et a soutenu que l'incident reflétait une configuration d'application non sécurisée plutôt qu'une compromission de LayerZero lui-même. La société a déclaré qu'elle exhorte désormais toutes les applications utilisant des configurations DVN 1/1 à migrer vers des configurations multi-DVN et cessera de signer ou d'attester des messages pour les applications qui conservent la conception à vérificateur unique.
Les pertes déclenchent une bataille de reproches après l'exploit de 290 millions de dollars de Kelp
Sans plan de récupération ou d'indemnisation annoncé, les utilisateurs et les observateurs du marché ont passé lundi à débattre de la question de savoir si les pertes devaient incomber à Kelp DAO, LayerZero, Aave ou aux détenteurs de rsETH eux-mêmes.
Yishi Wang, fondateur et PDG du portefeuille matériel open source OneKey, a déclaré que la meilleure voie à suivre était de négocier avec le pirate, d'offrir une prime de 10 % à 15 % et de récupérer la majeure partie des fonds.
« Si les négociations échouent, le Fonds écologique de LayerZero devrait payer la majeure partie de la facture - il a les poches les plus profondes et le plus d'intérêt à long terme dans le jeu », a écrit le fondateur dans un post X lundi, ajoutant que Kelp DAO est « fauché » et pourrait se rattraper avec des tokens et des revenus futurs, ou envisager de vendre le projet.
Le fondateur pseudonyme de la plateforme d'analyse DeFiLlama, 0xngmi, a présenté trois solutions, notamment l'option de « socialiser » les pertes entre tous les utilisateurs, « rug rsETH holders on L2s », ou essayer de ramener les soldes des détenteurs à un snapshot avant le piratage, ce qui serait « très difficile à faire », a-t-il écrit dans un post X lundi.
Source : 0xngmi
Cointelegraph a contacté Aave pour un commentaire, mais n'avait pas reçu de réponse au moment de la publication.
Related : L'attaquant Hyperbridge frappe 1 milliard de tokens Polkadot pontés dans un exploit de 237 000 $
L'exploit augmente les risques de liquidation d'Aave
Les préoccupations des investisseurs concernant l'exploit de Kelp ont considérablement réduit la liquidité d'Ether (ETH) sur Aave, l'actif collatéral principal du protocole de prêt.
Cette faible liquidité présente un « risque de sécurité critique où les liquidations de Actifs collatéraux / Actifs de garantie ETH ne peuvent pas avoir lieu pendant que les marchés sont à 100 % d'utilisation », a déclaré MoneySupply, le chef pseudonyme de la stratégie du protocole de prêt concurrent d'Aave, Spark, dans un post X samedi.
« Avec les conditions d'illiquidité actuelles sur Aave, une baisse de prix ETHUSD de 15 à 20 % pourrait entraîner une accumulation importante de créances douteuses (en plus de tout problème potentiel attribuable à l'exploit direct de rsETH) », a-t-il déclaré.
Source : Monetsupply
Aave a déclaré avoir immédiatement gelé tous les rsETH dans Aave v3 et V4, empêchant d'autres dommages. Les propres contrats intelligents d'Aave n'ont pas été exploités.
Magazine : Rencontrez les détectives crypto onchain qui combattent le crime mieux que les flics
- #Hackers
- #Cybercrime
- #North Korea
- #Cybersecurity
- #Hacks
- #DeFi
- #Aave
- #Scams & Cybercrime
