يزعم بروتوكول التشغيل البيني LayerZero أن إعدادًا غير كافٍ مرتبطًا بشبكة المدققين اللامركزية (DVN) التابعة لـ Kelp قد مكن الجهات الخبيثة من سرقة 290 مليون دولار من Kelp DAO، مضيفًا أن المؤشرات الأولية تشير إلى جهات تهديد مرتبطة بكوريا الشمالية.
قام مهاجم باستنزاف حوالي 116,500 من عملات Restaked ETH (rsETH)، بقيمة تتراوح بين 292 و 293 مليون دولار تقريبًا في ذلك الوقت، من جسر rsETH التابع لـ Kelp DAO والمدعوم بتقنية LayerZero يوم السبت.
صرحت LayerZero يوم الاثنين أن الاستغلال نبع من نقطة فشل واحدة في إعداد Kelp، والذي اعتمد على شبكة DVN واحدة من LayerZero كمسار التحقق الوحيد، على الرغم من أن LayerZero كانت قد نصحتهم سابقًا بعدم القيام بذلك.
"لقد قامت LayerZero وأطراف خارجية أخرى سابقًا بتوصيل أفضل الممارسات المتعلقة بتنويع DVN إلى KelpDAO. على الرغم من هذه التوصيات، اختارت KelpDAO استخدام تكوين DVN بنسبة 1/1."
عمليًا، كان هذا يعني أن Kelp اعتمد على مسار تحقق واحد لرسائل البلوكشين المتقاطعة بدلاً من طلب عمليات تدقيق مستقلة متعددة.
حول الاستغلال الانتباه بسرعة من السبب التقني إلى مسألة من يجب أن يتحمل الخسائر، بينما امتدت تداعياته إلى Aave، حيث استخدم المهاجم rsETH كضمان لاقتراض سيولة حقيقية.
انخفض إجمالي القيمة المقفلة (TVL) لـ Aave بحوالي 8.9 مليار دولار إلى 17.5 مليار دولار وقت كتابة هذا التقرير بعد أن استخدم المستغل الأموال المسروقة للاقتراض على Aave، تاركًا حوالي 195 مليون دولار في "ديون معدومة"، مما أدى إلى عمليات سحب على بروتوكول الإقراض.
قالت LayerZero إن جسر rsETH الخاص بـ Kelp اعتمد كليًا على LayerZero Labs DVN، ودفعت بأن الحادث يعكس تهيئة تطبيق غير آمنة بدلاً من اختراق لـ LayerZero نفسها. وقالت الشركة إنها تحث الآن جميع التطبيقات التي تستخدم إعدادات DVN بنسبة 1/1 على الانتقال إلى تكوينات DVN متعددة وستتوقف عن توقيع أو التصديق على الرسائل للتطبيقات التي تحتفظ بتصميم المدقق الفردي.
مع عدم الإعلان عن خطة استرداد أو تعويض حتى الآن، أمضى المستخدمون والمراقبون في السوق يوم الاثنين في مناقشة ما إذا كانت الخسائر يجب أن تقع على عاتق Kelp DAO أو LayerZero أو Aave أو حاملي rsETH أنفسهم.
قال ييشي وانغ، المؤسس والرئيس التنفيذي لمحفظة الأجهزة مفتوحة المصدر OneKey، إن أفضل طريق للمضي قدمًا هو التفاوض مع المخترق، وتقديم مكافأة تتراوح بين 10% و15%، واستعادة الجزء الأكبر من الأموال.
وكتب المؤسس في منشور له على X يوم الاثنين: "إذا فشلت المفاوضات، يجب على صندوق نظام LayerZero البيئي أن يتحمل الجزء الأكبر من الفاتورة – فلديه أعمق جيوب وأكبر مصلحة على المدى الطويل"، مضيفًا أن Kelp DAO "مفلسة" ويمكن أن تعوض ذلك بالرموز والإيرادات المستقبلية، أو النظر في بيع المشروع.
حدد 0xngmi، المؤسس المجهول لمنصة التحليلات DeFiLlama، ثلاثة حلول، بما في ذلك خيار "تعميم" الخسائر بين جميع المستخدمين، أو "سحب البساط من حاملي rsETH على L2s"، أو محاولة إعادة أرصدة الحاملين إلى لقطة ما قبل الاختراق، وهو ما سيكون "صعبًا للغاية"، كما كتب في منشور له على X يوم الاثنين.
تواصلت Cointelegraph مع Aave للتعليق، لكنها لم تتلق ردًا حتى وقت النشر.
ذات صلة: مهاجم Hyperbridge يصك مليار توكن بولكادوت موصولة في استغلال بقيمة 237 ألف دولار
أدت مخاوف المستثمرين بشأن استغلال Kelp إلى تقليل سيولة إيثر (ETH) بشكل كبير على Aave، وهو الأصل الضماني الأساسي لبروتوكول الإقراض.
تمثل هذه السيولة المنخفضة "مخاطرة أمان حرجة حيث لا يمكن إجراء تصفية ضمان ETH بينما تعمل الأسواق بكامل طاقتها"، حسبما قال MoneySupply، رئيس الاستراتيجية المستعار في بروتوكول الإقراض المنافس لـ Aave، Spark، في منشور على X يوم السبت.
وقال: "مع ظروف السيولة المنخفضة الحالية على Aave، فإن انخفاض سعر ETHUSD بنسبة 15-20% قد يتسبب في تراكم كبير للديون المعدومة (علاوة على أي مشكلات محتملة تُعزى إلى استغلال rsETH المباشر)".
قالت Aave إنها جمدت على الفور جميع rsETH في Aave v3 و V4، مما منع المزيد من الضرر. لم يتم استغلال عقود Aave الذكية نفسها.
مجلة: تعرف على محققي العملات المشفرة على السلسلة الذين يكافحون الجريمة أفضل من الشرطة
