Seorang penyerang telah menguras lebih dari $290 juta dari ekosistem Kelp DAO di seluruh jaringan Ethereum dan Arbitrum.
Protokol pinjaman harus segera memberlakukan tindakan perlindungan darurat untuk dapat membendung penularan finansial akibat pelanggaran tersebut, yang berpusat pada jembatan lintas-rantai rsETH.
Harga token Aave (AAVE) telah anjlok sekitar 18% sebagai akibat dari eksploitasi yang menghancurkan ini.
Menurut forensik on-chain yang disediakan oleh firma analitik keamanan D2 Finance, kerentanan tersebut bukanlah cacat dalam infrastruktur dasar LayerZero.
Sebaliknya, eksploitasi tersebut telah diidentifikasi sebagai "bug kepercayaan peer OApp," yang berasal dari kompromi kunci yang parah pada rantai sumber.
Penyerang berhasil mengkompromikan kontrak peer Kelp DAO yang sah.
Alamat awal penyerang didanai melalui mixer mata uang kripto Tornado Cash untuk mengaburkan jejak mereka sebelum peretasan.
Setelah mengamankan sejumlah besar rsETH, penyerang tidak langsung mencoba mencairkannya.
Sebaliknya, mereka bergerak untuk memanfaatkan aset curian tersebut di pasar pinjaman DeFi utama.
Firma keamanan Blockchain PeckShield mengungkapkan bahwa penyerang secara agresif menyetorkan rsETH curian sebagai jaminan untuk meminjam Wrapped Ethereum (WETH).
Kepemilikan gabungan penyerang saat ini melebihi 106.400 ETH, senilai hampir $250 juta.
Tanggapan darurat
Aave secara resmi mengumumkan pembekuan semua pasar rsETH di seluruh implementasi V3 dan V4-nya, melucuti semua daya pinjam aset tersebut. Pendiri Aave, Stani Kulechov, dengan cepat meyakinkan pengguna bahwa kontrak pintar inti Aave tetap aman dan tidak dieksploitasi.
