Isang attacker ang nakakuha ng mahigit $290 milyon mula sa Kelp DAO ecosystem sa buong Ethereum at Arbitrum networks.
Kinailangan ng mga lending protocol na agaran at apurahang magpatupad ng mga hakbang sa pagpoprotekta upang pigilan ang pagkalat ng pinsala sa pananalapi bilang resulta ng paglabag, na nakasentro sa rsETH cross-chain bridge.
Bumaba ang presyo ng Aave (AAVE) token ng humigit-kumulang 18% bilang resulta ng mapaminsalang exploit.
Ayon sa on-chain forensics na ibinigay ng security analytics firm na D2 Finance, ang kahinaan ay hindi isang depekto sa pinagbabatayang imprastraktura ng LayerZero.
Sa halip, ang exploit ay natukoy bilang isang "OApp peer-trust bug," na nagmumula sa isang matinding key compromise sa source chain.
Nagtagumpay ang attacker na makompromiso ang isang lehitimong idineploy na Kelp DAO peer contract.
Ang mga inisyal na address ng attacker ay pinondohan sa pamamagitan ng cryptocurrency mixer na Tornado Cash upang itago ang kanilang mga bakas bago ang paglabag.
Matapos makuha ang malaking kayamanan ng rsETH, hindi agad sinubukan ng exploiter na mag-cash out.
Sa halip, ginamit nila ang mga nakaw na asset sa mga pangunahing DeFi lending market.
Ibinunyag ng blockchain security firm na PeckShield na agresibong idineposito ng attacker ang nakaw na rsETH bilang collateral upang manghiram ng Wrapped Ethereum (WETH).
Ang pinagsamang hawak ng exploiter ay kasalukuyang lumampas sa 106,400 ETH, na nagkakahalaga ng halos $250 milyon.
Pagtugon sa Kagipitan
Opisyal na inihayag ng Aave ang pagyeyelo ng lahat ng rsETH market sa buong V3 at V4 deployments nito, na inalis ang lahat ng kapangyarihan sa paghiram ng asset. Mabilis na tiniyak ng nagtatag ng Aave na si Stani Kulechov sa mga gumagamit na nananatiling ligtas ang mga pangunahing smart contract ng Aave at hindi na-exploit.
