Kelp DAO wydało w poniedziałek oświadczenie, umniejszając swoją bezpośrednią odpowiedzialność za exploit o wartości 292 milionów dolarów, który miał miejsce w weekend.
18 kwietnia most międzyłańcuchowy Kelp DAO, oparty na LayerZero, stracił 116 500 tokenów rsETH o wartości około 292 milionów dolarów, co czyni go największym exploitem DeFi w tym roku.
LayerZero poinformowało w niedzielę, że atakujący, prawdopodobnie północnokoreańska grupa Lazarus, uzyskał dostęp do listy węzłów RPC używanych przez zdecentralizowaną sieć weryfikacyjną (DVN) LayerZero Labs. Atakujący następnie zatruł dwa węzły RPC i przeprowadził atak DDoS, aby DVN zaakceptowało fałszywą wiadomość międzyłańcuchową, co doprowadziło do podpisania nieprawidłowej transakcji.
W swoim raporcie LayerZero skrytykowało konfigurację DVN 1-do-1 Kelp DAO, zauważając, że stworzyła ona pojedynczy punkt awarii z powodu braku niezależnej weryfikacji niezbędnej do wykrycia fałszywej wiadomości międzyłańcuchowej.
„LayerZero i inne strony zewnętrzne wcześniej komunikowały najlepsze praktyki dotyczące dywersyfikacji DVN do Kelp DAO” – napisano w raporcie. „Pomimo tych zaleceń Kelp DAO zdecydowało się na wykorzystanie konfiguracji DVN 1/1”.
Najnowsze oświadczenie Kelp DAO było odpowiedzią na zarzuty LayerZero, przesuwając odpowiedzialność za konfigurację DVN 1-do-1 na LayerZero.
„Konfiguracja DVN 1-do-1 jest konfiguracją udokumentowaną w dokumentacji LayerZero i dostarczaną jako domyślna dla każdego nowego wdrożenia OFT” – napisało Kelp w swoim oświadczeniu na X. „Kelp działa na infrastrukturze LayerZero od stycznia 2024 roku i przez cały czas utrzymuje otwarty kanał komunikacji z zespołem LayerZero”.
Kelp dodało, że temat konfiguracji DVN pojawił się podczas ekspansji na L2, a domyślna konfiguracja została wówczas „jednoznacznie potwierdzona jako odpowiednia”.
„Ustanowienie wspólnego i dokładnego opisu tego, co się stało, jest podstawą do wspólnego wprowadzenia właściwych poprawek” – stwierdziło Kelp.
Most międzyłańcuchowy poinformował również, że jego początkowa reakcja – w tym wstrzymanie odpowiednich kontraktów i umieszczenie na czarnej liście portfeli powiązanych z atakującym – pomogła opanować sytuację. Dodał, że ocenia kolejne kroki w celu wznowienia działania protokołu.
Tymczasem wpływ ataku szybko rozprzestrzenił się na protokół Aave, ponieważ exploiter zdeponował znaczną część skradzionych aktywów w Aave V3. Atakujący wykorzystał rsETH jako zabezpieczenie do pożyczenia znacznych ilości WETH, zwiększając ryzyko złych długów w protokole.
Najnowszy raport incydentu Aave stwierdza, że atakujący dostarczył 89 567 rsETH (o wartości około 221 milionów dolarów) jako zabezpieczenie i pożyczył 82 650 WETH oraz 821 wstETH, pozostawiając pozycje z bardzo niskimi współczynnikami zdrowotności.
Protokół przedstawił dwa hipotetyczne scenariusze złych długów oparte na dostępnych danych, biorąc pod uwagę, że Kelp nie ogłosiło oficjalnie planu alokacji strat ani odzyskiwania.
Pierwszy scenariusz szczegółowo opisuje równomierne rozłożenie strat, zakładając, że około 112 204 rsETH równomiernie zmniejsza podaż we wszystkich łańcuchach. Skutkowałoby to 15,12% depegiem i doprowadziłoby do około 123,7 miliona dolarów złych długów dla Aave.
„Ethereum Core absorbuje największą bezwzględną stratę (91,8 mln USD), ale jego rezerwa WETH jest wystarczająco głęboka, aby niedobór pozostał na poziomie 1,54%” – napisało Aave. „Mantle, z najmniejszą rezerwą WETH w stosunku do ekspozycji na rsETH, cierpi na 9,54% niedobór, co jest największym proporcjonalnym wpływem w tym scenariuszu”.
Drugi scenariusz zakłada, że straty są ograniczone do rsETH na L2, pozostawiając rsETH w sieci głównej Ethereum w pełni zabezpieczone. W tym przypadku na zabezpieczenia L2 zostałoby nałożone 73,54% obcięcie wartości. Doprowadziłoby to do wyższych złych długów w wysokości 230,1 miliona dolarów na rynkach L2, takich jak rynki WETH Mantle, Arbitrum i Base.
W pierwszym scenariuszu, parasol WETH Aave, posiadający 54 miliony dolarów, mógłby służyć jako początkowe zabezpieczenie. Parasol nie zostałby uruchomiony w drugim scenariuszu.
„To, który scenariusz się zmaterializuje, zależy od decyzji poza kontrolą Aave, głównie od tego, jak zostaną zaktualizowane rozliczenia rsETH i kurs wymiany LRTOracle” – stwierdziło Aave.
Ponadto Aave poinformowało, że Aave DAO utrzymuje silny bilans z aktywami o wartości 181 milionów dolarów, oraz że otrzymało kilka zobowiązań od uczestników ekosystemu do wsparcia protokołu w przypadku złych długów.
Oświadczenie: The Block to niezależne medium dostarczające wiadomości, badania i dane. Od listopada 2023 r. Foresight Ventures jest większościowym inwestorem The Block. Foresight Ventures inwestuje w inne firmy z przestrzeni krypto. Giełda krypto Bitget jest głównym LP dla Foresight Ventures. The Block nadal działa niezależnie, aby dostarczać obiektywnych, wpływowych i aktualnych informacji o branży krypto. Oto nasze aktualne oświadczenia finansowe.
© 2026 The Block. Wszelkie prawa zastrzeżone. Niniejszy artykuł ma wyłącznie charakter informacyjny. Nie jest oferowany ani przeznaczony do wykorzystania jako porada prawna, podatkowa, inwestycyjna, finansowa ani żadna inna.
