एक हमलावर ने एथेरियम और आर्बिट्रम नेटवर्क पर केल्प डीएओ इकोसिस्टम से 290 मिलियन डॉलर से अधिक की धनराशि निकाल ली है।
उधार प्रोटोकॉल को तत्काल आपातकालीन सुरक्षात्मक उपाय करने पड़े ताकि उल्लंघन के परिणामस्वरूप वित्तीय संक्रमण को नियंत्रित किया जा सके, जिसका केंद्र rsETH क्रॉस-चेन ब्रिज था।
इस विनाशकारी एक्सप्लॉइट के परिणामस्वरूप Aave (AAVE) टोकन की कीमत में लगभग 18% की गिरावट आई है।
सुरक्षा विश्लेषण फर्म D2 फाइनेंस द्वारा प्रदान किए गए ऑन-चेन फोरेंसिक के अनुसार, यह भेद्यता अंतर्निहित लेयरज़ीरो इंफ्रास्ट्रक्चर में कोई खराबी नहीं थी।
इसके बजाय, इस एक्सप्लॉइट को "OApp पीयर-ट्रस्ट बग" के रूप में पहचाना गया है, जो स्रोत चेन पर एक गंभीर कुंजी समझौता (key compromise) से उत्पन्न हुआ है।
हमलावर एक वैध रूप से डिप्लॉय किए गए केल्प डीएओ पीयर कॉन्ट्रैक्ट से समझौता करने में कामयाब रहा।
हमलावर के प्रारंभिक पतों को उल्लंघन से पहले अपने निशानों को छिपाने के लिए क्रिप्टोकरेंसी मिक्सर टॉरनेडो कैश के माध्यम से वित्तपोषित किया गया था।
rsETH के विशाल भंडार को सुरक्षित करने के बाद, हमलावर ने तुरंत नकदी निकालने का प्रयास नहीं किया।
इसके बजाय, उन्होंने प्रमुख डीफाई (DeFi) उधार बाजारों में चुराई गई संपत्तियों का लाभ उठाने का कदम उठाया।
ब्लॉकचेन सुरक्षा फर्म पेकशिल्ड ने खुलासा किया कि हमलावर ने आक्रामक रूप से चुराए गए rsETH को रैप्ड एथेरियम (WETH) उधार लेने के लिए संपार्श्विक (collateral) के रूप में जमा किया।
हमलावर के समेकित होल्डिंग्स वर्तमान में 106,400 ETH से अधिक हैं, जिनका मूल्य लगभग 250 मिलियन डॉलर है।
आपातकालीन प्रतिक्रिया
Aave ने आधिकारिक तौर पर अपने V3 और V4 डिप्लॉयमेंट्स में सभी rsETH बाजारों को फ्रीज करने की घोषणा की, जिससे संपत्ति की सभी उधार शक्ति समाप्त हो गई। Aave के संस्थापक स्टैनि कुलेचोव ने उपयोगकर्ताओं को तुरंत आश्वस्त किया कि Aave के मुख्य स्मार्ट कॉन्ट्रैक्ट सुरक्षित हैं और उनका एक्सप्लॉइट नहीं किया गया था।
