Un atacator a deturnat peste 290 de milioane de dolari din ecosistemul Kelp DAO, pe rețelele Ethereum și Arbitrum.
Protocoalele de lending (împrumut) au trebuit să implementeze urgent măsuri de protecție de urgență pentru a putea limita contagiunea financiară rezultată în urma breșei, care s-a concentrat pe bridge-ul cross-chain rsETH.
Prețul tokenului Aave (AAVE) a scăzut cu aproximativ 18% ca urmare a exploit-ului devastator.
Conform analizelor forensice on-chain furnizate de firma de analiză de securitate D2 Finance, vulnerabilitatea nu a fost o eroare în infrastructura subiacentă LayerZero.
În schimb, exploit-ul a fost identificat ca fiind o „vulnerabilitate OApp peer-trust”, care provine dintr-o compromitere severă a cheilor pe lanțul sursă.
Atacatorul a reușit să compromită un contract peer Kelp DAO implementat în mod legitim.
Adresele inițiale ale atacatorului au fost finanțate prin mixerul de criptomonede Tornado Cash pentru a-și ascunde urmele înainte de breșă.
După ce a obținut imensa comoară de rsETH, atacatorul nu a încercat imediat să-și încaseze banii.
În schimb, acesta a trecut la fructificarea activelor furate pe principalele piețe de lending DeFi.
Firma de securitate blockchain PeckShield a dezvăluit că atacatorul a depozitat agresiv rsETH-ul furat ca garanție pentru a împrumuta Wrapped Ethereum (WETH).
Activele consolidate ale atacatorului depășesc în prezent 106.400 ETH, evaluate la aproape 250 de milioane de dolari.
Răspuns de urgență
Aave a anunțat oficial înghețarea tuturor piețelor rsETH din implementările sale V3 și V4, eliminând orice putere de împrumut a activului. Fondatorul Aave, Stani Kulechov, a fost prompt în a-i asigura pe utilizatori că smart contractele de bază ale Aave rămân sigure și nu au fost exploatate.
