نشرت LayerZero نتائجها الرئيسية بشأن استغلال Kelp DAO، وربطت الحادث بجهات فاعلة إلكترونية كورية شمالية.

في 18 أبريل، فقد جسر Kelp DAO عبر السلاسل المدعوم من LayerZero، 116,500 رمز rsETH بقيمة حوالي 292 مليون دولار، مما يجعله أكبر استغلال للتمويل اللامركزي (DeFi) حتى الآن هذا العام.

كتبت LayerZero في أحدث بيان لها: "تشير المؤشرات الأولية إلى أن الحادث يعزى إلى جهة فاعلة حكومية متطورة للغاية، على الأرجح مجموعة لازاروس التابعة لكوريا الديمقراطية الشعبية، وبالتحديد TraderTraitor."

أوضحت LayerZero أن المهاجم حصل على وصول إلى قائمة عقد RPC المستخدمة من قبل شبكة التحقق اللامركزية (DVN) التابعة لمختبرات LayerZero، وهي كيانات مستقلة تتحقق من الرسائل عبر السلاسل.

ثم قام المهاجم بتسميم اثنتين من عقد RPC تلك، مما تسبب في توصيلهما لرسالة مزيفة عبر السلاسل إلى شبكة DVN. شن المهاجم هجوم حجب خدمة (DDoS) ضد العقد النظيفة لدفع شبكة DVN للاعتماد على العقد المسمومة.

نقطة فشل واحدة

نظرًا لأن Kelp DAO كانت تستخدم إعداد DVN واحد من واحد (1/1) بدون تكرار، فقد تم قبول الرسالة المزيفة، مما سمح للجسر بفتح الرمز. ألقت LayerZero اللوم على Kelp DAO لاختيارها العمل بإعداد DVN أحادي.

قال البيان: "إن تشغيل تكوين نقطة فشل واحدة يعني عدم وجود مدقق مستقل لالتقاط ورفض رسالة مزورة". "لقد أبلغت LayerZero وجهات خارجية أخرى KelpDAO سابقًا بأفضل الممارسات حول تنويع DVN. على الرغم من هذه التوصيات، اختارت KelpDAO استخدام تكوين DVN 1/1."

وفي الوقت نفسه، أكد البيان أنه لا يوجد "انتشار صفري" لأي أصل أو تطبيق آخر.

كتبت LayerZero أن شبكة LayerZero Labs DVN تعمل وأن جميع التطبيقات التي تستخدم إعداد DVN متعدد يجب أن تشعر بالثقة لاستئناف العمليات. وقال البيان إنه في المستقبل، لن توقع LayerZero على الرسائل من أي تطبيقات تستخدم تكوين DVN 1/1.

وأضافت LayerZero أنها تعمل مع وكالات إنفاذ القانون المتعددة لمواصلة التحقيق في الأمر وتتعقب بنشاط الأموال المسروقة.

التأثير على Aave

أحدث هجوم 18 أبريل على Kelp DAO تأثيرًا مضاعفًا عبر القطاع بأكمله، مما أثار موجة من عمليات السحب من Aave ودفع إلى إيقافات طارئة على بروتوكولات متعددة.

نقلت الجهة الخبيثة الرموز المسروقة إلى Aave V3، حيث استخدم المهاجم rsETH كضمان لاقتراض كميات كبيرة من WETH، مما أدى، حسبما ورد، إلى ديون معدومة على Aave. استجابة لذلك، جمد البروتوكول أسواق rsETH على كل من V3 و V4 لاحتواء المخاطر.

كتب ستاني كوليتشوف، مؤسس Aave، على X: "تم تجميد rsETH على Aave V3 و V4، ولا يمتلك الأصل أي قوة اقتراض كإجراء بسبب استغلال جسر KelpDAO الذي حدث خارج Aave". "لا يمتلك كل من Aave V3 و V4 تعرضًا إضافيًا لـ rsETH."

على الرغم من الإجراءات السريعة لـ Aave، شهدت المنصة تدفقًا كبيرًا للأموال.

وفقًا للبيانات التاريخية من Aavescan، خرجت أكثر من 10 مليارات دولار من الأموال من Aave منذ استغلال Kelp DAO، مع انخفاض إجمالي المبلغ المورد إلى 35.7 مليار دولار من 45.8 مليار دولار قبل الهجوم.

حث مارك زيلر، مؤسس مبادرة Aave Chan وشخصية بارزة في نظام Aave البيئي، مستخدمي المنصة على سحب WETH بسرعة من البروتوكول، وكتب: "اسحب الآن، واسأل لاحقًا."

في غضون ذلك، عالجت Aave المخاوف المستمرة مشيرة إلى أنها ستستكشف طرقًا لتعويض العجز إذا تراكمت ديون معدومة على البروتوكول.

نقاط الضعف الهيكلية

دفع استغلال Kelp DAO العشرات من بروتوكولات التمويل اللامركزي (DeFi) إلى تجميد جسور LayerZero OFT (الرمز المميز القابل للاستبدال عبر السلاسل) الخاصة بها من باب الحذر. وتشمل هذه بروتوكولات رئيسية مثل Ethena و ether.fi و Tron DAO و Curve Finance وغيرها الكثير.

تظهر بيانات DefiLlama أن إجمالي القيمة المقفلة في التمويل اللامركزي (DeFi TVL) قد انخفض بنسبة 7% في الساعات الـ 24 الماضية. يبلغ إجمالي القيمة المقفلة في التمويل اللامركزي حاليًا حوالي 86.3 مليار دولار، بانخفاض من 99.5 مليار دولار في 18 أبريل.

قال مين جونغ، الباحث المشارك في Presto Research: "إن استغلال Kelp DAO هو انعكاس آخر لنقاط الضعف الهيكلية في التمويل اللامركزي، خاصة في البنية التحتية عبر السلاسل والمفارقة في مدى تركيز طبقات الأمان الحيوية". وأضاف: "من منظور الثقة، فإن التوقيت، بعد حوادث مثل Drift، ضار، حيث يتساءل المستخدمون بشكل متزايد عما إذا كانت العوائد المنخفضة تبرر مخاطر الاستغلال."

قال الباحث لـ The Block إن سلسلة الاستغلالات الكبيرة في التمويل اللامركزي من المرجح أن تسرع التحرك نحو إدارة مخاطر أكثر صرامة وتصميم معماري محسن.