Interoperabiliteitsprotocol LayerZero beweert dat een ontoereikende configuratie, gekoppeld aan Kelp’s gedecentraliseerde verificatienetwerk (DVN), kwaadwillende actoren in staat stelde $290 miljoen te stelen van Kelp DAO, eraan toevoegend dat voorlopige tekenen wijzen op dreigingsactoren die banden hebben met Noord-Korea.
Een aanvaller onttrok zaterdag ongeveer 116.500 Restaked ETH (rsETH), ter waarde van ruwweg $292-$293 miljoen op dat moment, van Kelp DAO's LayerZero-aangedreven rsETH-brug.
LayerZero verklaarde maandag dat de exploit voortkwam uit een single point of failure in de configuratie van Kelp, dat vertrouwde op een enkel LayerZero DVN als het enige geverifieerde pad, ondanks dat LayerZero hen hier eerder voor had gewaarschuwd.
“LayerZero en andere externe partijen hebben KelpDAO eerder geadviseerd over best practices met betrekking tot DVN-diversificatie. Ondanks deze aanbevelingen koos KelpDAO ervoor om een 1/1 DVN-configuratie te gebruiken.”
In de praktijk betekende dit dat Kelp vertrouwde op één verificatiepad voor crosschain-berichten, in plaats van meerdere onafhankelijke controles te vereisen.
De exploit verlegde snel de aandacht van de technische oorzaak naar de vraag wie de verliezen moest dragen, terwijl de gevolgen zich verspreidden naar Aave, waar de aanvaller rsETH als onderpand gebruikte om echte liquiditeit te lenen.
Aave’s total value locked (TVL) is gedaald met ongeveer $8,9 miljard naar $17,5 miljard op het moment van schrijven, nadat de aanvaller de gestolen fondsen gebruikte om te lenen op Aave, waardoor ongeveer $195 miljoen aan "slechte schulden" ontstond, wat opnames op het leenprotocol veroorzaakte.
LayerZero zei dat Kelp's rsETH-brug uitsluitend vertrouwde op de LayerZero Labs DVN, en betoogde dat het incident een onveilige applicatieconfiguratie weerspiegelde in plaats van een compromittering van LayerZero zelf. Het bedrijf zei dat het nu alle applicaties die 1/1 DVN-opstellingen gebruiken, aanspoort om te migreren naar multi-DVN-configuraties en zal stoppen met het ondertekenen of attesteren van berichten voor apps die het ontwerp met één verificateur behouden.
Nu er nog geen herstel- of compensatieplan is aangekondigd, debatteerden gebruikers en marktwaarnemers maandag over de vraag of de verliezen bij Kelp DAO, LayerZero, Aave of de rsETH-houders zelf moesten liggen.
Yishi Wang, oprichter en CEO van open-source hardware wallet OneKey, zei dat de beste weg vooruit was om te onderhandelen met de hacker, een beloning van 10% tot 15% aan te bieden en het grootste deel van de fondsen terug te krijgen.
“Als onderhandelingen mislukken, zou het ecosysteemfonds van LayerZero het grootste deel van de rekening moeten betalen – zij hebben de diepste zakken en het meest te verliezen op de lange termijn,” schreef de oprichter in een X-bericht op maandag, eraan toevoegend dat Kelp DAO “failliet” is en het zou kunnen goedmaken met tokens en toekomstige inkomsten, of overwegen het project te verkopen.
De pseudonieme oprichter van analyseplatform DeFiLlama, 0xngmi, schetste drie oplossingen, waaronder de optie om verliezen te "socialiseren" onder alle gebruikers, "rsETH-houders op L2's te rugpullen," of te proberen de saldi van houders terug te brengen naar een pre-hack snapshot, wat "erg moeilijk zou zijn," schreef hij in een X-bericht op maandag.
Cointelegraph heeft contact opgenomen met Aave voor commentaar, maar had tegen publicatie nog geen reactie ontvangen.
Gerelateerd: Hyperbridge-aanvaller mint 1 miljard overbrugde Polkadot-tokens in exploit van $237K
Beleggerszorgen over de Kelp-exploit hebben de liquiditeit van Ether (ETH) op Aave, het belangrijkste onderpand van het leenprotocol, aanzienlijk verminderd.
Deze lage liquiditeit vormt een “kritiek veiligheidsrisico waarbij liquidaties van ETH-onderpand niet kunnen plaatsvinden terwijl markten op 100% benutting zijn,” zei MoneySupply, het pseudonieme hoofd strategie bij Aave’s concurrerende leenprotocol Spark, in een X-bericht op zaterdag.
“Met de huidige illiquiditeitsomstandigheden op Aave, zou een prijsdaling van 15-20% van ETHUSD kunnen leiden tot aanzienlijke accumulatie van slechte schulden (bovenop eventuele problemen die toe te schrijven zijn aan de directe rsETH-exploit),” zei hij.
Aave zei dat het onmiddellijk alle rsETH in Aave v3 en V4 bevroor, om verdere schade te voorkomen. Aave’s eigen smart contracts werden niet geëxploiteerd.
Tijdschrift: Maak kennis met de onchain crypto-detectives die criminaliteit beter bestrijden dan de politie
