Một kẻ tấn công đã rút hơn 290 triệu USD từ hệ sinh thái Kelp DAO trên mạng Ethereum và Arbitrum.
Các giao thức cho vay đã phải khẩn trương thực hiện các biện pháp bảo vệ khẩn cấp để ngăn chặn sự lây lan tài chính do vụ tấn công, tập trung vào cầu nối chuỗi chéo rsETH.
Giá của token Aave (AAVE) đã giảm khoảng 18% sau vụ tấn công tàn khốc này.
Theo phân tích pháp y trên chuỗi do công ty phân tích bảo mật D2 Finance cung cấp, lỗ hổng này không phải là lỗi trong cơ sở hạ tầng LayerZero cốt lõi.
Thay vào đó, vụ tấn công được xác định là một "lỗi tin cậy ngang hàng OApp" (OApp peer-trust bug), xuất phát từ việc xâm phạm khóa nghiêm trọng trên chuỗi nguồn.
Kẻ tấn công đã thành công xâm phạm một hợp đồng ngang hàng Kelp DAO được triển khai hợp lệ.
Các địa chỉ ban đầu của kẻ tấn công được cấp tiền thông qua dịch vụ trộn tiền điện tử Tornado Cash để che giấu dấu vết trước khi thực hiện vụ tấn công.
Sau khi chiếm đoạt được lượng lớn rsETH, kẻ tấn công không cố gắng rút tiền mặt ngay lập tức.
Thay vào đó, chúng đã sử dụng các tài sản bị đánh cắp để tận dụng trên các thị trường cho vay DeFi lớn.
Công ty bảo mật blockchain PeckShield tiết lộ rằng kẻ tấn công đã tích cực gửi rsETH bị đánh cắp làm tài sản thế chấp để vay Wrapped Ethereum (WETH).
Tổng số tài sản nắm giữ của kẻ tấn công hiện vượt quá 106.400 ETH, trị giá gần 250 triệu USD.
Phản ứng khẩn cấp
Aave đã chính thức thông báo đóng băng tất cả các thị trường rsETH trên các triển khai V3 và V4 của mình, tước bỏ mọi quyền vay của tài sản này. Người sáng lập Aave, Stani Kulechov, đã nhanh chóng trấn an người dùng rằng các hợp đồng thông minh cốt lõi của Aave vẫn an toàn và không bị tấn công.
