Ein Angreifer hat über 290 Millionen US-Dollar aus dem Kelp DAO Ökosystem über die Ethereum- und Arbitrum-Netzwerke abgezogen.
Lending-Protokolle mussten dringend Notfallschutzmaßnahmen ergreifen, um die finanzielle Ansteckung infolge der Sicherheitslücke einzudämmen, die sich auf die rsETH Cross-Chain-Bridge konzentrierte.
Der Preis des Aave (AAVE) Tokens ist infolge des verheerenden Exploits um etwa 18 % eingebrochen.
Laut On-Chain-Forensik der Sicherheitsanalysefirma D2 Finance handelte es sich bei der Schwachstelle nicht um einen Fehler in der zugrunde liegenden LayerZero-Infrastruktur.
Stattdessen wurde der Exploit als ein „OApp Peer-Trust Bug“ identifiziert, der auf eine schwerwiegende Kompromittierung von Schlüsseln in der Quell-Blockchain zurückzuführen ist.
Es gelang dem Angreifer, einen legitim implementierten Kelp DAO Peer-Vertrag zu kompromittieren.
Die anfänglichen Adressen des Angreifers wurden über den Kryptowährungs-Mixer Tornado Cash finanziert, um ihre Spuren vor dem Angriff zu verwischen.
Nachdem der Exploit eine massive Menge an rsETH erlangt hatte, versuchte er nicht sofort, diese zu verkaufen.
Stattdessen nutzten sie die gestohlenen Vermögenswerte in großen DeFi-Lending-Märkten.
Das Blockchain-Sicherheitsunternehmen PeckShield enthüllte, dass der Angreifer die gestohlenen rsETH aggressiv als Sicherheit einzahlte, um Wrapped Ethereum (WETH) zu leihen.
Die konsolidierten Bestände des Angreifers übersteigen derzeit 106.400 ETH, im Wert von fast 250 Millionen US-Dollar.
Notfallreaktion
Aave gab offiziell bekannt, alle rsETH-Märkte in seinen V3- und V4-Implementierungen einzufrieren und dem Asset jegliche Kreditfähigkeit zu entziehen. Aave-Gründer Stani Kulechov beeilte sich, die Nutzer zu beruhigen, dass die Kern-Smart Contracts von Aave sicher bleiben und nicht ausgenutzt wurden.
