O protocolo de interoperabilidade LayerZero afirma que uma configuração inadequada ligada à rede de verificadores descentralizados (DVN) da Kelp permitiu que atores maliciosos roubassem US$ 290 milhões da Kelp DAO, acrescentando que sinais preliminares apontam para atores de ameaça ligados à Coreia do Norte.
Um atacante drenou cerca de 116.500 Restaked ETH (rsETH), avaliados em aproximadamente US$ 292-293 milhões na época, da ponte rsETH da Kelp DAO, impulsionada pela LayerZero, no sábado.
A LayerZero disse na segunda-feira que o exploit resultou de um único ponto de falha na configuração da Kelp, que dependia de um único DVN da LayerZero como o único caminho verificado, apesar de a LayerZero tê-los aconselhado anteriormente contra isso.
“A LayerZero e outras partes externas comunicaram anteriormente as melhores práticas em relação à diversificação de DVN para a KelpDAO. Apesar dessas recomendações, a KelpDAO optou por utilizar uma configuração de DVN 1/1.”
Na prática, isso significava que a Kelp dependia de um único caminho de verificação para mensagens crosschain, em vez de exigir múltiplas verificações independentes.
O exploit rapidamente desviou a atenção da causa técnica para a questão de quem deveria absorver as perdas, enquanto as consequências se espalharam para a Aave, onde o atacante usou rsETH como garantia para emprestar liquidez real.
O valor total bloqueado (TVL) da Aave caiu cerca de US$ 8,9 bilhões para US$ 17,5 bilhões no momento da redação, depois que o explorador usou os fundos roubados para pegar empréstimos na Aave, deixando cerca de US$ 195 milhões em “dívida incobrável” (bad debt), o que desencadeou saques no protocolo de empréstimo.
A LayerZero disse que a ponte rsETH da Kelp dependia exclusivamente do DVN da LayerZero Labs e argumentou que o incidente refletiu uma configuração de aplicativo insegura, e não um comprometimento da própria LayerZero. A empresa afirmou que agora está instando todos os aplicativos que usam configurações de DVN 1/1 a migrar para configurações multi-DVN e deixará de assinar ou atestar mensagens para aplicativos que mantiverem o design de verificador único.
Sem um plano de recuperação ou compensação ainda anunciado, usuários e observadores de mercado passaram a segunda-feira debatendo se as perdas deveriam recair sobre a Kelp DAO, LayerZero, Aave ou os próprios detentores de rsETH.
Yishi Wang, fundador e CEO da carteira de hardware de código aberto OneKey, disse que o melhor caminho a seguir era negociar com o hacker, oferecer uma recompensa de 10% a 15% e recuperar a maior parte dos fundos.
“Se as negociações falharem, o fundo do ecossistema da LayerZero deveria arcar com a maior parte da conta — ele tem os bolsos mais fundos e o maior interesse de longo prazo no jogo”, escreveu o fundador em uma postagem no X na segunda-feira, acrescentando que a Kelp DAO está “falida” e poderia compensar com tokens e receita futura, ou considerar vender o projeto.
O fundador pseudônimo da plataforma de análise DeFiLlama, 0xngmi, delineou três soluções, incluindo a opção de “socializar” as perdas entre todos os usuários, “rugpull” nos detentores de rsETH em L2s, ou tentar retornar os saldos dos detentores a um snapshot pré-hack, o que seria “muito difícil de fazer”, ele escreveu em uma postagem no X na segunda-feira.
A Cointelegraph entrou em contato com a Aave para comentar, mas não havia recebido uma resposta até a publicação.
Relacionado: Atacante da Hyperbridge cunha 1 bilhão de tokens Polkadot em exploit de US$ 237 mil
As preocupações dos investidores com o exploit da Kelp reduziram significativamente a liquidez de Ether (ETH) na Aave, o principal ativo de garantia do protocolo de empréstimo.
Essa baixa liquidez apresenta um “risco crítico de segurança onde as liquidações de garantia ETH não podem ocorrer enquanto os mercados estão com 100% de utilização”, disse MoneySupply, o chefe de estratégia pseudônimo do Spark, um protocolo de empréstimo concorrente da Aave, em uma postagem no X no sábado.
“Com as atuais condições de iliquidez na Aave, uma queda de 15-20% no preço do ETHUSD poderia causar um acúmulo significativo de dívida incobrável (além de quaisquer problemas potenciais atribuíveis ao exploit direto do rsETH)”, ele disse.
A Aave disse que congelou imediatamente todo o rsETH nas versões v3 e v4 da Aave, prevenindo maiores danos. Os smart contracts da própria Aave não foram explorados.
Revista: Conheça os detetives de cripto on-chain que combatem o crime melhor que a polícia
