Un atacante ha desviado más de 290 millones de dólares del ecosistema Kelp DAO a través de las redes Ethereum y Arbitrum.
Los protocolos de préstamo tuvieron que implementar urgentemente medidas de protección de emergencia para contener el contagio financiero resultante de la brecha, que se centró en el puente entre cadenas rsETH.
El precio del token Aave (AAVE) se ha desplomado aproximadamente un 18% como resultado del devastador exploit.
Según el análisis forense on-chain proporcionado por la firma de seguridad D2 Finance, la vulnerabilidad no era un fallo dentro de la infraestructura subyacente de LayerZero.
En cambio, el exploit ha sido identificado como un "bug de confianza entre pares de OApp", que proviene de una grave compromiso de clave en la cadena de origen.
El atacante logró comprometer un contrato de pares Kelp DAO legítimamente desplegado.
Las direcciones iniciales del atacante fueron financiadas a través del mezclador de criptomonedas Tornado Cash para ocultar sus rastros antes de la brecha.
Después de asegurar el enorme alijo de rsETH, el explotador no intentó cobrar inmediatamente.
En su lugar, se movieron para apalancar los activos robados en los principales mercados de préstamos DeFi.
La firma de seguridad blockchain PeckShield reveló que el atacante depositó agresivamente el rsETH robado como garantía para pedir prestado Wrapped Ethereum (WETH).
Las tenencias consolidadas del explotador actualmente superan los 106.400 ETH, valorados en casi 250 millones de dólares.
Respuesta de emergencia
Aave anunció oficialmente la congelación de todos los mercados de rsETH en sus implementaciones V3 y V4, despojando al activo de todo su poder de préstamo. El fundador de Aave, Stani Kulechov, se apresuró a tranquilizar a los usuarios de que los contratos inteligentes principales de Aave permanecen seguros y no fueron explotados.
