Un attaquant a siphonné plus de 290 millions de dollars de l'écosystème Kelp DAO sur les réseaux Ethereum et Arbitrum.
Les protocoles de prêt ont dû adopter de toute urgence des mesures de protection afin de contenir la contagion financière résultant de la brèche, centrée sur le pont inter-chaînes rsETH.
Le prix du jeton Aave (AAVE) a chuté d'environ 18 % à la suite de l'exploit dévastateur.
Selon les analyses forensiques on-chain fournies par la société d'analyse de sécurité D2 Finance, la vulnérabilité n'était pas une faille au sein de l'infrastructure sous-jacente de LayerZero.
Au lieu de cela, l'exploit a été identifié comme un « bug de confiance entre pairs OApp », qui résulte d'une grave compromission de clé sur la chaîne source.
L'attaquant a réussi à compromettre un contrat pair Kelp DAO légitimement déployé.
Les adresses initiales de l'attaquant ont été financées via le mixeur de cryptomonnaies Tornado Cash pour brouiller leurs pistes avant la brèche.
Après avoir sécurisé l'énorme butin de rsETH, l'exploiteur n'a pas immédiatement tenté d'encaisser.
Au lieu de cela, il a cherché à tirer parti des actifs volés sur les principaux marchés de prêt DeFi.
La société de sécurité blockchain PeckShield a révélé que l'attaquant a déposé agressivement le rsETH volé en garantie pour emprunter du Wrapped Ethereum (WETH).
Les avoirs consolidés de l'exploiteur dépassent actuellement 106 400 ETH, évalués à près de 250 millions de dollars.
Réponse d'urgence
Aave a officiellement annoncé le gel de tous les marchés rsETH sur ses déploiements V3 et V4, privant l'actif de tout pouvoir d'emprunt. Stani Kulechov, fondateur d'Aave, s'est empressé de rassurer les utilisateurs que les contrats intelligents principaux d'Aave restent sécurisés et n'ont pas été exploités.
