پروتکل تعاملپذیری لایه زیرو (LayerZero) ادعا میکند که یک تنظیمات ناکافی مربوط به شبکه تاییدکننده غیرمتمرکز (DVN) Kelp، به عوامل مخرب اجازه داده تا ۲۹۰ میلیون دلار از Kelp DAO سرقت کنند، و اضافه میکند که نشانههای اولیه به عوامل تهدید مرتبط با کره شمالی اشاره دارد.
یک مهاجم حدود ۱۱۶,۵۰۰ واحد اتر ریاستیک شده (rsETH) را که در آن زمان تقریباً ۲۹۲ تا ۲۹۳ میلیون دلار ارزش داشت، از بریج rsETH Kelp DAO که توسط لایه زیرو پشتیبانی میشد، در روز شنبه تخلیه کرد.
لایه زیرو روز دوشنبه اعلام کرد که این سوءاستفاده ناشی از یک نقطه شکست واحد در تنظیمات Kelp بوده است که به یک DVN تنها از لایه زیرو به عنوان تنها مسیر تأیید شده متکی بود، با وجود اینکه لایه زیرو قبلاً به آنها توصیه کرده بود که این کار را نکنند.
«لایه زیرو و سایر طرفهای خارجی قبلاً بهترین شیوهها را در مورد تنوع DVN به KelpDAO اطلاع داده بودند. با وجود این توصیهها، KelpDAO استفاده از پیکربندی DVN ۱/۱ را انتخاب کرد.»
در عمل، این به آن معنا بود که Kelp برای پیامهای بینزنجیرهای به یک مسیر تأیید واحد متکی بود، به جای اینکه به چندین بررسی مستقل نیاز داشته باشد.
این سوءاستفاده به سرعت توجه را از علت فنی به این پرسش معطوف کرد که چه کسی باید زیانها را متحمل شود، در حالی که پیامدهای آن به Aave نیز سرایت کرد، جایی که مهاجم از rsETH به عنوان وثیقه برای قرض گرفتن نقدینگی واقعی استفاده کرد.
ارزش کل قفل شده (TVL) Aave در زمان نگارش این مطلب حدود ۸.۹ میلیارد دلار کاهش یافته و به ۱۷.۵ میلیارد دلار رسیده است، پس از اینکه مهاجم از وجوه دزدیده شده برای قرض گرفتن در Aave استفاده کرد و حدود ۱۹۵ میلیون دلار «بدهی سوخته» بر جای گذاشت که باعث برداشتها از پروتکل وامدهی شد.
لایه زیرو اعلام کرد که بریج rsETH Kelp صرفاً به DVN لایه زیرو لبز متکی بوده است، و استدلال کرد که این حادثه بازتابی از یک پیکربندی ناامن برنامه بوده است نه نقض امنیت خود لایه زیرو. این شرکت گفت که اکنون از تمام برنامههایی که از تنظیمات DVN ۱/۱ استفاده میکنند، میخواهد به پیکربندیهای چندگانه DVN مهاجرت کنند و امضا یا تأیید پیامها را برای برنامههایی که طراحی تک تأییدکننده را حفظ میکنند، متوقف خواهد کرد.
با عدم اعلام هیچ برنامه بازیابی یا جبران خسارت تاکنون، کاربران و ناظران بازار دوشنبه را به بحث و جدل درباره اینکه آیا زیانها باید بر عهده Kelp DAO، لایه زیرو، Aave یا خود دارندگان rsETH باشد، گذراندند.
ییشی وانگ، بنیانگذار و مدیرعامل کیف پول سختافزاری متنباز OneKey، گفت که بهترین راه پیش رو، مذاکره با هکر، ارائه ۱۰ تا ۱۵ درصد پاداش و بازگرداندن بخش عمدهای از وجوه است.
این بنیانگذار در پستی در X روز دوشنبه نوشت: «اگر مذاکرات شکست بخورد، صندوق اکوسیستم لایه زیرو باید بخش عمدهای از هزینه را بپردازد – زیرا بیشترین توان مالی و بیشترین منافع بلندمدت را در این بازی دارد.» و افزود که Kelp DAO «ورشکسته» است و میتواند با توکنها و درآمدهای آینده آن را جبران کند یا فروش پروژه را در نظر بگیرد.
۰xngmi، بنیانگذار ناشناس پلتفرم تحلیلی DeFiLlama، سه راهحل را تشریح کرد، از جمله گزینه «اجتماعی کردن» زیانها در میان همه کاربران، «راگ پول کردن» (فریب دادن) دارندگان rsETH در L2ها، یا تلاش برای بازگرداندن موجودی دارندگان به یک اسنپشات قبل از هک، که «انجام آن بسیار دشوار خواهد بود»، او در پستی در X روز دوشنبه نوشت.
کوینتلگراف برای اظهار نظر با Aave تماس گرفت، اما تا زمان انتشار پاسخی دریافت نکرده بود.
مرتبط: مهاجم هایپربریج ۱ میلیارد توکن پولکادات پلگذاری شده را در سوءاستفاده ۲۳۷ هزار دلاری ضرب کرد
نگرانیهای سرمایهگذاران در مورد سوءاستفاده از Kelp به طور قابل توجهی نقدینگی اتر (ETH)، دارایی وثیقه اصلی پروتکل وامدهی Aave را کاهش داده است.
مانیساپلای، رئیس استراتژی ناشناس در پروتکل وامدهی رقیب Aave یعنی Spark، در پستی در X روز شنبه گفت: «این نقدینگی پایین یک «ریسک امنیتی حیاتی» را ایجاد میکند که در آن تسویهحسابهای وثیقه ETH نمیتواند زمانی که بازارها در ۱۰۰% بهرهبرداری هستند، انجام شود.»
او گفت: «با شرایط نقدینگی کنونی در Aave، کاهش ۱۵-۲۰ درصدی قیمت ETHUSD میتواند باعث انباشت بدهیهای بد قابل توجهی شود (علاوه بر هرگونه مشکل احتمالی ناشی از سوءاستفاده مستقیم rsETH).»
Aave اعلام کرد که بلافاصله تمام rsETH را در Aave v3 و V4 مسدود کرده و از آسیب بیشتر جلوگیری کرده است. قراردادهای هوشمند خود Aave مورد سوءاستفاده قرار نگرفته بودند.
مجله: با کارآگاهان کریپتو آنچین آشنا شوید که بهتر از پلیس با جرم و جنایت مبارزه میکنند
