Ang interoperability protocol na LayerZero ay nagsasabing ang isang hindi sapat na setup na konektado sa decentralized verifier network (DVN) ng Kelp ang nagbigay-daan sa mga malisyosong aktor na magnakaw ng $290 milyon mula sa Kelp DAO, idinagdag na ang mga paunang senyales ay tumuturo sa mga banta mula sa North Korea. Isang attacker ang umubos ng humigit-kumulang 116,500 Restaked ETH (rsETH), na nagkakahalaga ng halos $292-$293 milyon noong panahong iyon, mula sa rsETH bridge ng Kelp DAO na pinapagana ng LayerZero noong Sabado. Sinabi ng LayerZero noong Lunes na ang exploit ay nagmula sa isang solong punto ng pagkabigo sa setup ng Kelp, na umasa sa isang solong LayerZero DVN bilang tanging beripikadong landas, sa kabila ng naunang pagpapayo ng LayerZero laban dito.

“Nauna nang ipinaalam ng LayerZero at iba pang panlabas na partido ang pinakamahuhusay na kasanayan sa DVN diversification sa KelpDAO. Sa kabila ng mga rekomendasyong ito, pinili ng KelpDAO na gumamit ng 1/1 DVN configuration.”

Sa praktikal na paraan, nangangahulugan iyon na ang Kelp ay umasa sa isang solong landas ng pag-beripika para sa mga crosschain message sa halip na humiling ng maraming independiyenteng pagsusuri. Mabilis na inilipat ng exploit ang atensyon mula sa teknikal na sanhi patungo sa tanong kung sino ang dapat sumalo sa mga pagkalugi, habang kumalat ang epekto sa Aave, kung saan ginamit ng attacker ang rsETH bilang kolateral upang manghiram ng totoong liquidity. Ang kabuuang halaga ng naka-lock (TVL) ng Aave ay bumaba ng humigit-kumulang $8.9 bilyon sa $17.5 bilyon sa oras ng pagsusulat matapos gamitin ng exploiter ang mga ninakaw na pondo upang manghiram sa Aave, na nag-iwan ng humigit-kumulang $195 milyon sa “masamang utang,” na nagdulot ng mga withdrawal sa lending protocol.

Sinabi ng LayerZero na ang rsETH bridge ng Kelp ay umasa lamang sa LayerZero Labs DVN, at pinangatwiranan na ang insidente ay nagpapakita ng isang hindi ligtas na konfigurasyon ng aplikasyon sa halip na isang kompromiso sa LayerZero mismo. Sinabi ng kumpanya na ngayon ay hinihimok nito ang lahat ng aplikasyon na gumagamit ng 1/1 DVN setups na lumipat sa multi-DVN configurations at hihinto sa pagpirma o pagpapatunay ng mga mensahe para sa mga app na mananatili sa disenyo ng single verifier.

Mga pagkalugi, nagdulot ng sisihan matapos ang $290 milyong exploit sa Kelp

Dahil wala pang inaanunsyo na plano para sa pagbawi o kompensasyon, ang mga user at market observer ay nagdebate noong Lunes kung ang mga pagkalugi ay dapat na ipasa sa Kelp DAO, LayerZero, Aave o sa mga may hawak ng rsETH mismo. Sinabi ni Yishi Wang, founder at CEO ng open-source hardware wallet na OneKey, na ang pinakamahusay na paraan pasulong ay makipag-negosasyon sa hacker, mag-alok ng 10% hanggang 15% na bounty, at maibalik ang karamihan ng mga pondo. “Kung mabigo ang negosasyon, ang pondo ng ecosystem ng LayerZero ang dapat sumagot sa karamihan ng bayarin—dahil ito ang may pinakamalaking pondo at pinakamatagal na stake sa laro,” isinulat ng founder sa isang X post noong Lunes, idinagdag na ang Kelp DAO ay “walang pera” at maaaring bumawi sa pamamagitan ng mga token at kita sa hinaharap, o isaalang-alang ang pagbebenta ng proyekto. Ang pseudonymous na founder ng analytics platform na DeFiLlama, 0xngmi, ay naglatag ng tatlong solusyon, kabilang ang opsyon na “socialize” ang mga pagkalugi sa lahat ng user, “i-rug” ang mga may hawak ng rsETH sa L2s, o subukang ibalik ang mga balanse ng may hawak sa isang pre-hack snapshot, na magiging “napakahirap gawin,” isinulat niya sa isang X post noong Lunes.

Kinontak ng Cointelegraph ang Aave para sa komento, ngunit wala pang natatanggap na tugon sa oras ng paglalathala. Kaugnay: Ang attacker ng Hyperbridge ay lumikha ng 1B bridged Polkadot tokens sa $237K na exploit

Ang exploit ay nagpapataas ng panganib ng liquidation sa Aave

Ang mga alalahanin ng mamumuhunan tungkol sa exploit sa Kelp ay lubos na nagpababa sa liquidity ng Ether (ETH) sa Aave, ang pangunahing collateral asset ng lending protocol. Ang mababang liquidity na ito ay nagdudulot ng “kritikal na panganib sa seguridad kung saan hindi maaaring maganap ang mga liquidation ng ETH collateral habang ang mga merkado ay nasa 100% utilization,” sinabi ni MoneySupply, ang pseudonymous na pinuno ng estratehiya sa lending protocol na Spark, kalaban ng Aave, sa isang X post noong Sabado. “Sa kasalukuyang kondisyon ng illiquidity sa Aave, ang pagbaba ng presyo ng ETHUSD ng 15-20% ay maaaring magdulot ng malaking pagtaas ng bad debt (bukod pa sa anumang posibleng isyu na maiuugnay sa direktang rsETH exploit),” aniya.

Sinabi ng Aave na agad nitong ni-freeze ang lahat ng rsETH sa Aave v3 at V4, upang maiwasan ang karagdagang pinsala. Hindi na-exploit ang sariling smart contracts ng Aave. Magazine: Kilalanin ang mga onchain crypto detective na lumalaban sa krimen nang mas mahusay kaysa sa mga pulis