Atakujący sprzeniewierzył ponad 290 milionów dolarów z ekosystemu Kelp DAO w sieciach Ethereum i Arbitrum.
Protokoły pożyczkowe musiały pilnie wprowadzić awaryjne środki ochronne, aby powstrzymać zarażenie finansowe wynikające z naruszenia, które koncentrowało się na moście cross-chain rsETH.
Cena tokena Aave (AAVE) spadła o około 18% w wyniku niszczycielskiego eksploita.
Zgodnie z analizą on-chain dostarczoną przez firmę analityczną ds. bezpieczeństwa D2 Finance, luka nie była wadą w ramach podstawowej infrastruktury LayerZero.
Zamiast tego, exploit został zidentyfikowany jako "błąd zaufania OApp peer-trust", który wynika z poważnej kompromitacji klucza w łańcuchu źródłowym.
Atakujący zdołał skompromitować legalnie wdrożony kontrakt peer Kelp DAO.
Początkowe adresy atakującego były finansowane za pośrednictwem miksera kryptowalut Tornado Cash w celu zatarcia śladów przed naruszeniem.
Po zabezpieczeniu ogromnego zasobu rsETH, exploiter nie próbował natychmiast spieniężyć środków.
Zamiast tego, przeniósł się, aby wykorzystać skradzione aktywa na głównych rynkach pożyczkowych DeFi.
Firma zajmująca się bezpieczeństwem blockchain, PeckShield, ujawniła, że atakujący agresywnie zdeponował skradzione rsETH jako zabezpieczenie w celu pożyczenia Wrapped Ethereum (WETH).
Skonsolidowane zasoby exploitera przekraczają obecnie 106 400 ETH, wyceniane na prawie 250 milionów dolarów.
Reakcja awaryjna
Aave oficjalnie ogłosiło zamrożenie wszystkich rynków rsETH w swoich wdrożeniach V3 i V4, pozbawiając aktywo wszelkiej mocy pożyczkowej. Założyciel Aave, Stani Kulechov, szybko uspokoił użytkowników, że podstawowe smart kontrakty Aave pozostają bezpieczne i nie zostały wykorzystane.
