LayerZero заявляет, что эксплойт был вызван настройкой Kelp, в то время как вопросы о потерях Aave растут

Протокол взаимодействия LayerZero заявляет, что неадекватная настройка, связанная с децентрализованной сетью верификации (DVN) Kelp, позволила злоумышленникам украсть 290 миллионов $ из Kelp DAO, добавив, что предварительные признаки указывают на связанных с Северной Кореей субъектов угроз.

Злоумышленник вывел около 116 500 Restaked ETH (rsETH), стоимостью примерно 292-293 миллиона $ на тот момент, из моста rsETH Kelp DAO на базе LayerZero в субботу.

LayerZero заявил в понедельник, что эксплойт возник из-за единственной точки отказа в настройке Kelp, которая полагалась на единственный LayerZero DVN в качестве единственного проверенного пути, несмотря на то, что LayerZero ранее советовал им не делать этого.

На практике это означало, что Kelp полагался на один путь верификации для кроссчейн-сообщений, вместо того чтобы требовать множественные независимые проверки.

Эксплойт быстро переключил внимание с технической причины на вопрос о том, кто должен нести убытки, в то время как последствия распространились на Aave, где злоумышленник использовал rsETH в качестве залогового актива для займа реальной ликвидности.

Общая заблокированная стоимость (TVL) Aave упала примерно на 8,9 миллиарда $ до 17,5 миллиарда $ на момент написания статьи после того, как эксплойтер использовал украденные средства для займа на Aave, оставив около 195 миллионов $ «плохого долга», что спровоцировало снятие средств в протоколе кредитования.

LayerZero заявил, что мост rsETH компании Kelp полагался исключительно на LayerZero Labs DVN, и утверждал, что инцидент отражает небезопасную конфигурацию приложения, а не компрометацию самого LayerZero. Компания заявила, что теперь призывает все приложения, использующие настройки DVN 1/1, перейти на конфигурации с несколькими DVN и прекратит подписывать или подтверждать сообщения для приложений, сохраняющих дизайн с единственным верификатором.

Убытки вызывают борьбу обвинений после эксплойта Kelp на 290 миллионов $

Поскольку план восстановления или компенсации еще не объявлен, пользователи и наблюдатели рынка провели понедельник, обсуждая, должны ли убытки лечь на Kelp DAO, LayerZero, Aave или самих держателей rsETH.

Иши Ван, основатель и CEO аппаратного кошелька с открытым исходным кодом OneKey, сказал, что лучший путь вперед — это вести переговоры с хакером, предложить вознаграждение в размере 10%-15% и вернуть основную часть средств.

«Если переговоры провалятся, Экологический фонд LayerZero должен оплатить основную часть счета — у него самые глубокие карманы и наибольшая долгосрочная заинтересованность в игре», — написал основатель в посте X в понедельник, добавив, что Kelp DAO «банкрот» и мог бы компенсировать это токенами и будущей выручкой, или рассмотреть возможность продажи проекта.

Псевдонимный основатель аналитической платформы DeFiLlama, 0xngmi, изложил три решения, включая вариант «социализировать» убытки среди всех пользователей, «обмануть держателей rsETH на L2», или попытаться вернуть балансы держателей к снэпшоту до взлома, что было бы «очень трудно сделать», написал он в посте X в понедельник.

Cointelegraph обратился к Aave за комментарием, но не получил ответа к моменту публикации.

Связанное: Злоумышленник Hyperbridge создает 1 миллиард мостовых токенов Polkadot в эксплойте на 237 000 $

Эксплойт повышает риски ликвидации Aave

Опасения инвесторов по поводу эксплойта Kelp значительно снизили ликвидность Ether (ETH) на Aave, основном залоговом активе протокола кредитования.

Эта низкая ликвидность представляет «критический риск безопасности, при котором ликвидации залогового обеспечения ETH не могут иметь место, пока рынки используются на 100%», — сказал MoneySupply, псевдонимный глава стратегии конкурирующего с Aave протокола кредитования Spark, в посте X в субботу.

«При текущих условиях неликвидности на Aave падение цены ETHUSD на 15-20% может вызвать значительное накопление плохих долгов (в дополнение к любым потенциальным проблемам, связанным с прямым эксплойтом rsETH)», — сказал он.

Aave заявил, что немедленно заморозил все rsETH в Aave v3 и V4, предотвратив дальнейший ущерб. Собственные смарт-контракты Aave не были скомпрометированы.

Журнал: Познакомьтесь с ончейн-детективами по криптовалютам, борющимися с преступностью лучше полиции