قام مهاجم بسحب أكثر من 290 مليون دولار من منظومة Kelp DAO عبر شبكتي إيثريوم وأربيتروم.
اضطرت بروتوكولات الإقراض إلى اتخاذ تدابير حمائية طارئة لاحتواء العدوى المالية الناتجة عن الاختراق، والذي تركز حول جسر rsETH متعدد السلاسل.
انخفض سعر رمز Aave (AAVE) بنحو 18% نتيجة للاستغلال المدمر.
وفقًا لتحليلات السلسلة المقدمة من شركة D2 Finance لتحليل الأمن، لم تكن الثغرة خللاً ضمن البنية التحتية الأساسية لـ LayerZero.
بدلاً من ذلك، تم تحديد الاستغلال على أنه "خلل ثقة الأقران في OApp"، والذي ينبع من اختراق خطير للمفتاح على السلسلة المصدر.
تمكن المهاجم من اختراق عقد نظير لـ Kelp DAO تم نشره بشكل قانوني.
تم تمويل عناوين المهاجم الأولية عبر خلاط العملات المشفرة Tornado Cash لإخفاء آثاره قبل الاختراق.
بعد تأمين الكنز الضخم من rsETH، لم يحاول المستغل صرف الأموال على الفور.
بدلاً من ذلك، قاموا باستغلال الأصول المسروقة عبر أسواق الإقراض الرئيسية في التمويل اللامركزي (DeFi).
كشفت شركة PeckShield لأمن البلوك تشين أن المهاجم أودع rsETH المسروق بقوة كضمان لاقتراض إيثريوم المغلفة (WETH).
تتجاوز حيازات المستغل المجمعة حاليًا 106,400 إيثريوم، بقيمة تقارب 250 مليون دولار.
استجابة طارئة
أعلنت Aave رسميًا تجميد جميع أسواق rsETH عبر إصداراتها V3 و V4، مما جرد الأصل من جميع صلاحيات الاقتراض. سارع مؤسس Aave، ستاني كوليتشوف، إلى طمأنة المستخدمين بأن عقود Aave الذكية الأساسية لا تزال آمنة ولم يتم استغلالها.
