Een aanvaller heeft meer dan $290 miljoen weggesluisd uit het Kelp DAO ecosysteem via de Ethereum- en Arbitrum-netwerken.
Uitleenprotocollen moesten dringend noodzakelijke beschermende maatregelen nemen om de financiële besmetting als gevolg van de inbreuk, die zich concentreerde op de rsETH cross-chain bridge, te kunnen indammen.
De prijs van het Aave (AAVE) token is met ongeveer 18% gedaald als gevolg van de verwoestende exploit.
Volgens on-chain forensisch onderzoek van beveiligingsanalysebedrijf D2 Finance was de kwetsbaarheid geen fout binnen de onderliggende LayerZero-infrastructuur.
In plaats daarvan is de exploit geïdentificeerd als een "OApp peer-trust bug", die voortkomt uit een ernstige compromittering van sleutels op de bronketen.
De aanvaller is erin geslaagd een legitiem geïmplementeerd Kelp DAO peer-contract te compromitteren.
De initiële adressen van de aanvaller werden gefinancierd via de cryptocurrency-mixer Tornado Cash om hun sporen te verbergen voorafgaand aan de inbreuk.
Na het veiligstellen van de enorme hoeveelheid rsETH probeerde de exploitant niet onmiddellijk uit te cashen.
In plaats daarvan besloten ze de gestolen activa te benutten via de belangrijkste DeFi-uitleenmarkten.
Blockchain-beveiligingsbedrijf PeckShield onthulde dat de aanvaller agressief de gestolen rsETH als onderpand stortte om Wrapped Ethereum (WETH) te lenen.
De geconsolideerde bezittingen van de exploitant bedragen momenteel meer dan 106.400 ETH, met een waarde van bijna $250 miljoen.
Noodreactie
Aave kondigde officieel het bevriezen van alle rsETH-markten aan via haar V3- en V4-implementaties, waardoor het activum alle leenmogelijkheden werd ontnomen. Aave-oprichter Stani Kulechov stelde gebruikers snel gerust dat de kern-smart contracts van Aave veilig blijven en niet werden geëxploiteerd.
