Le protocole d'interopérabilité LayerZero affirme qu'une configuration inadéquate liée au réseau de vérificateurs décentralisé (DVN) de Kelp a permis à des acteurs malveillants de voler 290 millions de dollars à Kelp DAO, ajoutant que les premiers signes indiquent des acteurs de menace liés à la Corée du Nord.
Un attaquant a siphonné environ 116 500 Restaked ETH (rsETH), d'une valeur d'environ 292 à 293 millions de dollars à l'époque, du pont rsETH de Kelp DAO alimenté par LayerZero, samedi.
LayerZero a déclaré lundi que l'exploit provenait d'un point de défaillance unique dans la configuration de Kelp, qui reposait sur un seul DVN LayerZero comme seul chemin vérifié, bien que LayerZero leur ait précédemment déconseillé cela.
« LayerZero et d'autres parties externes avaient précédemment communiqué les meilleures pratiques concernant la diversification des DVN à KelpDAO. Malgré ces recommandations, KelpDAO a choisi d'utiliser une configuration DVN 1/1. »
En pratique, cela signifiait que Kelp s'appuyait sur un seul chemin de vérification pour les messages inter-chaînes plutôt que d'exiger plusieurs contrôles indépendants.
L'exploit a rapidement déplacé l'attention de la cause technique vers la question de savoir qui devrait absorber les pertes, tandis que les retombées se sont propagées à Aave, où l'attaquant a utilisé le rsETH comme garantie pour emprunter des liquidités réelles.
La valeur totale verrouillée (TVL) d'Aave a chuté d'environ 8,9 milliards de dollars pour atteindre 17,5 milliards de dollars au moment de la rédaction, après que l'exploiteur a utilisé les fonds volés pour emprunter sur Aave, laissant environ 195 millions de dollars de « mauvaise dette », déclenchant des retraits sur le protocole de prêt.
LayerZero a déclaré que le pont rsETH de Kelp reposait uniquement sur le DVN de LayerZero Labs, et a soutenu que l'incident reflétait une configuration d'application dangereuse plutôt qu'une compromission de LayerZero lui-même. La société a déclaré qu'elle exhorte maintenant toutes les applications utilisant des configurations DVN 1/1 à migrer vers des configurations multi-DVN et cessera de signer ou d'attester les messages pour les applications qui conservent la conception à vérificateur unique.
Sans aucun plan de récupération ou de compensation encore annoncé, les utilisateurs et les observateurs du marché ont passé la journée de lundi à débattre si les pertes devaient incomber à Kelp DAO, LayerZero, Aave ou aux détenteurs de rsETH eux-mêmes.
Yishi Wang, fondateur et PDG du portefeuille matériel open-source OneKey, a déclaré que la meilleure voie à suivre était de négocier avec le pirate, d'offrir une récompense de 10 % à 15 %, et de récupérer la majeure partie des fonds.
« Si les négociations échouent, le fonds d'écosystème de LayerZero devrait prendre en charge l'essentiel de la facture — il a les poches les plus profondes et le plus grand intérêt à long terme », a écrit le fondateur dans un message X lundi, ajoutant que Kelp DAO est « en faillite » et pourrait compenser avec des jetons et des revenus futurs, ou envisager de vendre le projet.
Le fondateur pseudonyme de la plateforme d'analyse DeFiLlama, 0xngmi, a présenté trois solutions, y compris l'option de « socialiser » les pertes parmi tous les utilisateurs, de « rug pull » les détenteurs de rsETH sur les L2, ou d'essayer de ramener les soldes des détenteurs à un instantané pré-piratage, ce qui serait « très difficile à faire », a-t-il écrit dans un message X lundi.
Cointelegraph a contacté Aave pour commentaire, mais n'avait pas reçu de réponse au moment de la publication.
En relation : L'attaquant de Hyperbridge frappe 1 milliard de jetons Polkadot pontés dans un exploit de 237 000 $
Les préoccupations des investisseurs concernant l'exploit de Kelp ont considérablement réduit la liquidité d'Ether (ETH) sur Aave, l'actif de garantie principal du protocole de prêt.
Cette faible liquidité présente un « risque de sécurité critique où les liquidations de garantie ETH ne peuvent pas avoir lieu tant que les marchés sont à 100 % d'utilisation », a déclaré MoneySupply, le responsable pseudonyme de la stratégie chez Spark, un protocole de prêt concurrent d'Aave, dans un message X samedi.
« Avec les conditions d'illiquidité actuelles sur Aave, une baisse de prix de l'ETHUSD de 15 à 20 % pourrait entraîner une accumulation significative de mauvaise dette (en plus de tout problème potentiel attribuable à l'exploit direct du rsETH) », a-t-il déclaré.
Aave a déclaré avoir immédiatement gelé tous les rsETH dans Aave v3 et V4, empêchant ainsi de nouveaux dommages. Les propres contrats intelligents d'Aave n'ont pas été exploités.
Magazine : Découvrez les détectives crypto onchain qui luttent contre la criminalité mieux que la police
