LayerZero اعلام کرد که گروه لازاروس کره شمالی عامل احتمالی پشت سواستفاده Kelp DAO است که ۱۱۶,۵۰۰ واحد rsETH به ارزش تقریبی ۲۹۲ میلیون دلار را تخلیه کرد.
این شرکت گفت که نشانههای اولیه به یک «عامل دولتی بسیار پیچیده» اشاره دارد و در آخرین بیانیه خود، «گروه لازاروس کره شمالی، به طور خاص TraderTraitor» را نام برد.
این حمله در ۱۸ آوریل رخ داد و به سرعت به بزرگترین سواستفاده دیفای گزارش شده در سال جاری تبدیل شد. LayerZero گفت که مهاجم سیستمی را که برای تأیید پیامهای بینزنجیرهای استفاده میشود، هدف قرار داده بود که به یک پیام نادرست اجازه داد عبور کرده و توکنها را در بریج (پل) باز کند.
LayerZero گفت که مهاجم به لیست نودهای RPC مورد استفاده توسط شبکه تأیید شده غیرمتمرکز (DVN) LayerZero Labs دسترسی پیدا کرده است. به گفته این شرکت، مهاجم سپس دو نود از آن نودها را مسموم کرد تا آنها یک پیام تقلبی بینزنجیرهای را به شبکه تأییدکننده ارسال کنند.
همزمان، مهاجم یک حمله DDoS را علیه نودهای سالم آغاز کرد که DVN را وادار به تکیه بر نودهای مسموم کرد. LayerZero گفت که این ترکیب اجازه داد پیام جعلی از طریق سیستم عبور کرده و قفل توکنها را باز کند که منجر به ضرر شد.
علاوه بر این، LayerZero گفت که این آسیب به این دلیل ممکن شد که Kelp DAO از یک راهاندازی DVN تکی (۱ از ۱) و بدون تأییدکننده پشتیبان استفاده کرده بود. این شرکت گفت که این امر یک نقطه ضعف واحد ایجاد کرده و هیچ بررسی مستقلی برای رد پیام جعلی قبل از انتشار وجوه توسط پل باقی نگذاشته است.
در بیانیه خود، LayerZero گفت: «فعالیت با پیکربندی تکنقطه ضعف به این معنی بود که هیچ تأییدکننده مستقلی برای شناسایی و رد یک پیام جعلی وجود نداشت.» همچنین گفت: «LayerZero و سایر طرفهای خارجی قبلاً بهترین شیوهها را در مورد تنوع DVN به KelpDAO اطلاعرسانی کرده بودند.» این شرکت افزود که دیگر برای برنامههایی که از راهاندازی DVN 1/1 استفاده میکنند، پیامها را امضا نخواهد کرد.
این سواستفاده پس از اینکه مهاجم rsETH دزدیده شده را به Aave V3 منتقل کرد و از آن به عنوان وثیقه برای قرض گرفتن مقادیر زیادی WETH استفاده کرد، استرس را در سراسر دیفای گسترش داد. این اقدام نگرانیهایی را در مورد بدهی احتمالی سوء در Aave ایجاد کرد و پروتکل را وادار به مسدود کردن بازارهای rsETH در نسخههای V3 و V4 کرد.
استانی کولچوف، بنیانگذار Aave، گفت: «RsETH در Aave V3 و V4 مسدود شده است» و افزود که این دارایی به دلیل سواستفاده بریج Kelp DAO دیگر قدرت وامگیری ندارد. دادههای تاریخی Aavescan نشان داد که بیش از ۱۰ میلیارد دلار پس از حمله از Aave خارج شده است، و کل وجوه تأمین شده از ۴۵.۸ میلیارد دلار به ۳۵.۷ میلیارد دلار کاهش یافته است.
پیامدهای این اتفاق فراتر از Aave گسترش یافت. چندین پروتکل دیفای، از جمله Ethena، ether.fi، Tron DAO و Curve Finance، بریجهای OFT LayerZero را به عنوان یک اقدام احتیاطی متوقف کردند.
دادههای DefiLlama نشان داد که کل ارزش قفل شده (TVL) دیفای در ۲۴ ساعت ۷٪ کاهش یافته و به حدود ۸۶.۳ میلیارد دلار رسیده است، در حالی که در ۱۸ آوریل ۹۹.۵ میلیارد دلار بود. LayerZero گفت که «هیچ سرایتی» برای سایر داراییها یا برنامههایی که از تنظیمات چند-DVN استفاده میکنند، وجود ندارد، در حالی که تلاشهای مجریان قانون برای ردیابی وجوه ادامه دارد.
