Protokol interoperabilitas LayerZero mengklaim bahwa pengaturan yang tidak memadai terkait jaringan verifikator terdesentralisasi (DVN) Kelp memungkinkan aktor jahat mencuri $290 juta dari Kelp DAO, menambahkan bahwa tanda-tanda awal menunjuk pada pelaku ancaman yang terkait dengan Korea Utara.
Seorang penyerang menguras sekitar 116.500 Restaked ETH (rsETH), senilai sekitar $292-$293 juta pada saat itu, dari jembatan rsETH Kelp DAO yang didukung LayerZero pada hari Sabtu.
LayerZero pada hari Senin menyatakan bahwa eksploitasi tersebut berasal dari satu titik kegagalan dalam pengaturan Kelp, yang mengandalkan satu DVN LayerZero sebagai satu-satunya jalur terverifikasi, meskipun LayerZero sebelumnya telah menasihati mereka untuk tidak melakukannya.
“LayerZero dan pihak eksternal lainnya sebelumnya telah mengkomunikasikan praktik terbaik mengenai diversifikasi DVN kepada KelpDAO. Terlepas dari rekomendasi ini, KelpDAO memilih untuk menggunakan konfigurasi DVN 1/1.”
Dalam praktiknya, itu berarti Kelp mengandalkan satu jalur verifikasi untuk pesan lintas-rantai (crosschain) daripada membutuhkan beberapa pemeriksaan independen.
Eksploitasi tersebut dengan cepat mengalihkan perhatian dari penyebab teknis ke pertanyaan tentang siapa yang harus menanggung kerugian, sementara dampaknya menyebar ke Aave, di mana penyerang menggunakan rsETH sebagai jaminan untuk meminjam likuiditas nyata.
Total nilai terkunci (TVL) Aave telah turun sekitar $8,9 miliar menjadi $17,5 miliar pada saat penulisan setelah penyerang menggunakan dana curian untuk meminjam di Aave, meninggalkan sekitar $195 juta dalam “utang macet,” memicu penarikan pada protokol pinjaman tersebut.
LayerZero mengatakan jembatan rsETH Kelp hanya mengandalkan DVN LayerZero Labs, dan berpendapat bahwa insiden tersebut mencerminkan konfigurasi aplikasi yang tidak aman daripada kompromi terhadap LayerZero itu sendiri. Perusahaan tersebut mengatakan sekarang mendesak semua aplikasi yang menggunakan pengaturan DVN 1/1 untuk bermigrasi ke konfigurasi multi-DVN dan akan berhenti menandatangani atau mengesahkan pesan untuk aplikasi yang mempertahankan desain verifikator tunggal.
Tanpa rencana pemulihan atau kompensasi yang diumumkan, pengguna dan pengamat pasar pada hari Senin memperdebatkan apakah kerugian harus ditanggung oleh Kelp DAO, LayerZero, Aave, atau pemegang rsETH itu sendiri.
Yishi Wang, pendiri dan CEO dompet perangkat keras sumber terbuka OneKey, mengatakan bahwa jalan terbaik adalah bernegosiasi dengan peretas, menawarkan imbalan 10% hingga 15%, dan mendapatkan kembali sebagian besar dana.
“Jika negosiasi gagal, dana ekosistem LayerZero harus menanggung sebagian besar biaya – ia memiliki kantong terdalam dan kepentingan jangka panjang paling besar,” tulis pendiri tersebut dalam postingan X hari Senin, menambahkan bahwa Kelp DAO “bangkrut” dan dapat mengatasinya dengan token dan pendapatan masa depan, atau mempertimbangkan untuk menjual proyek tersebut.
Pendiri anonim platform analisis DeFiLlama, 0xngmi, menguraikan tiga solusi, termasuk opsi untuk “mensosialisasikan” kerugian di antara semua pengguna, “melakukan rug pull” terhadap pemegang rsETH di L2s, atau mencoba mengembalikan saldo pemegang ke snapshot pra-peretasan, yang akan “sangat sulit dilakukan,” tulisnya dalam postingan X hari Senin.
Cointelegraph menghubungi Aave untuk dimintai komentar, tetapi belum menerima tanggapan hingga publikasi.
Terkait: Penyerang Hyperbridge mencetak 1 miliar token Polkadot yang di-bridge dalam eksploitasi $237 ribu
Kekhawatiran investor tentang eksploitasi Kelp secara signifikan telah mengurangi likuiditas Ether (ETH) di Aave, aset jaminan inti protokol pinjaman.
Likuiditas rendah ini menghadirkan “risiko keamanan kritis di mana likuidasi jaminan ETH tidak dapat terjadi sementara pasar berada pada pemanfaatan 100%,” kata MoneySupply, kepala strategi anonim di protokol pinjaman pesaing Aave, Spark, dalam postingan X hari Sabtu.
“Dengan kondisi illikuiditas saat ini di Aave, penurunan harga ETHUSD 15-20% dapat menyebabkan akumulasi utang macet yang signifikan (di atas masalah potensial apa pun yang disebabkan oleh eksploitasi rsETH secara langsung),” katanya.
Aave mengatakan segera membekukan semua rsETH di Aave v3 dan V4, mencegah kerusakan lebih lanjut. Kontrak pintar Aave sendiri tidak dieksploitasi.
Majalah: Temui detektif kripto on-chain yang memerangi kejahatan lebih baik daripada polisi
