Niecały dzień po tym, jak atakujący ukradli 291 milionów dolarów w kryptowalutach z infrastruktury powiązanej z projektem zdecentralizowanych finansów Kelp DAO, użytkownicy Aave, jednego z najbardziej sprawdzonych protokołów DeFi, mieli problemy z wypłatą środków w obliczu kryzysu płynności.

Most, który zazwyczaj umożliwia użytkownikom przenoszenie aktywa zwanego rsETH z jednej sieci do drugiej, został wykorzystany w sobotę, co skłoniło Aave do zamrożenia rynków związanych z tym tokenem, który atakujący wykorzystali do pożyczania środków z platformy, jak podał protokół pożyczkowy w poście na X.

W międzyczasie, Kelp DAO ogłosiło w poście na X, że „wstrzymało kontrakty rsETH” w sieci głównej Ethereum i kilku sieciach skalujących warstwy 2, w związku z dochodzeniem w sprawie podejrzanej aktywności.

Aktywność atakujących na Aave spowodowała, że tzw. wskaźnik wykorzystania kluczowej puli pożyczkowej gwałtownie wzrósł do 100%, sygnalizując, że użytkownikom, którzy wcześniej zdeponowali Ethereum i wrapped Ethereum, pozostało niewiele lub wcale płynności do wypłaty, jak pokazały dane Aavescan.

Godzinę przed tym, jak Aave zablokowało rynki, firma zajmująca się bezpieczeństwem blockchain, PeckShield, zasygnalizowała transakcję pokazującą przepływ 116 500 rsETH, o wartości 291 milionów dolarów w tamtym czasie, na nowy portfel.

Atakujący nie uciekli z rsETH, które zostały złośliwie uwolnione z mostu. Zamiast tego, wykorzystali Aave do pożyczenia zwykłych środków, tworząc „ogromne złe długi”, jak powiedział w poście na X Francesco Andreoli, szef ds. relacji z deweloperami w Consensys i MetaMask. (Zastrzeżenie: Consensys jest jednym z wielu inwestorów w niezależnym redakcyjnie Decrypt).

Token zarządzania Aave spadł do 90,13 dolara w niedzielę, co stanowi 16% spadek w ciągu ostatniego dnia, według CoinGecko. Ethereum spadło o 2% do 2300 dolarów w tym samym okresie.

Gdy użytkownicy mieli problemy z wypłatą środków z Aave, zaczęli pożyczać pod zastaw swoich depozytów w stablecoinach, jeszcze bardziej obciążając płynność, co jest oznaką „negatywnych skutków ubocznych”, powiedział monetsupply.eth, pseudonimowy szef strategii w projekcie DeFi Spark, w poście na X.

Exploit Kelp DAO i wynikające z niego konsekwencje dla Aave wywołały masową falę wypłat z kilku protokołów DeFi, nawet tych, które nie zostały dotknięte, według 0xngmi, pseudonimowego współzałożyciela dostawcy danych DefiLlama. W ujęciu netto, użytkownicy wycofali 6,2 miliarda dolarów z samego Aave do wczesnej niedzieli, jak podali w poście na X.

Gdy zarażenie wydaje się rozprzestrzeniać, najnowszy exploit DeFi dostarcza „wiele amunicji” krytykom sceptycznym wobec systemów, które dążą do zastąpienia tradycyjnych pośredników finansowych kodem, jak powiedział w poście na X Salman Banei, radca prawny w Plume, sieci skoncentrowanej na tokenizacji.

Kelp DAO emituje rsETH, token płynnego stakingu, który pozwala użytkownikom zarabiać nagrody z stakingu Ethereum i restakingu EigenLayer. Działa on jako zbywalne „pokwitowanie” dla depozytorów Kelp DAO. Most Kelp DAO został zbudowany na infrastrukturze zaprojektowanej przez LayerZero, protokół, który umożliwia aplikacjom DeFi wysyłanie wiadomości i transfer aktywów między blockchainami.

Stacy Muur, znana badaczka blockchain, powiedziała w poście na X, że exploit wydawał się opierać na pojedynczym punkcie awarii. Napisała, że „widmowa” wiadomość użyta przez atakujących zasadniczo oszukała most Kelp DAO, aby uwolnił rsETH na Ethereum bez usunięcia odpowiadającej ilości tokenów z obiegu na Ethereum warstwy 2 Unichain.

Niemniej jednak, niektórzy obserwatorzy chętnie szukali drogi naprzód, w tym przedsiębiorca kryptowalutowy i założyciel Tron, Justin Sun. Próbował negocjować, twierdząc, że atakujący ostatecznie będą mieli trudności z wydaniem skradzionych środków.

„Ile [chcecie]?” zapytał ich w poście na X. „Po prostu nie warto poświęcać zarówno Aave, jak i Kelp DAO i pozwolić im upaść z powodu tego włamania.”