Um invasor desviou mais de US$ 290 milhões do ecossistema Kelp DAO nas redes Ethereum e Arbitrum.
Protocolos de empréstimo tiveram que implementar urgentemente medidas protetivas de emergência para conter o contágio financeiro resultante da violação, que se centrou na ponte cross-chain rsETH.
O preço do token Aave (AAVE) despencou aproximadamente 18% como resultado do devastador exploit.
De acordo com a perícia on-chain fornecida pela empresa de análise de segurança D2 Finance, a vulnerabilidade não era uma falha na infraestrutura subjacente do LayerZero.
Em vez disso, o exploit foi identificado como um "bug de confiança de pares OApp", que decorre de uma grave comprometimento de chave na cadeia de origem.
O invasor conseguiu comprometer um contrato de par Kelp DAO legitimamente implantado.
Os endereços iniciais do invasor foram financiados através do mixer de criptomoedas Tornado Cash para obscurecer seus rastros antes da violação.
Após garantir o enorme tesouro de rsETH, o explorador não tentou imediatamente sacar o dinheiro.
Em vez disso, eles se moveram para alavancar os ativos roubados em grandes mercados de empréstimos DeFi.
A empresa de segurança blockchain PeckShield revelou que o invasor depositou agressivamente o rsETH roubado como garantia para emprestar Wrapped Ethereum (WETH).
As participações consolidadas do explorador atualmente excedem 106.400 ETH, avaliadas em quase US$ 250 milhões.
Resposta de emergência
Aave anunciou oficialmente o congelamento de todos os mercados de rsETH em suas implantações V3 e V4, retirando do ativo todo o poder de empréstimo. O fundador da Aave, Stani Kulechov, foi rápido em tranquilizar os usuários de que os contratos inteligentes centrais da Aave permanecem seguros e não foram explorados.
