O protocolo de interoperabilidade LayerZero afirma que uma configuração inadequada ligada à rede de verificadores descentralizada (DVN) da Kelp permitiu que agentes maliciosos roubassem 290 milhões de dólares da Kelp DAO, acrescentando que sinais preliminares apontam para agentes de ameaça ligados à Coreia do Norte.
Um atacante drenou cerca de 116.500 Restaked ETH (rsETH), no valor de aproximadamente 292-293 milhões de dólares na altura, da ponte rsETH da Kelp DAO alimentada por LayerZero no sábado.
LayerZero disse na segunda-feira que a exploração teve origem num único ponto de falha na configuração da Kelp, que dependia de um único LayerZero DVN como o único caminho verificado, apesar de LayerZero os ter previamente aconselhado contra isto.
Na prática, isso significava que a Kelp dependia de um único caminho de verificação para mensagens cross-chain em vez de exigir múltiplas verificações independentes.
A exploração rapidamente desviou a atenção da causa técnica para a questão de quem deveria absorver as perdas, enquanto as consequências se espalharam para a Aave, onde o atacante usou rsETH como ativos de garantia para pedir emprestado liquidez real.
O valor total bloqueado (TVL) da Aave caiu cerca de 8,9 mil milhões de dólares para 17,5 mil milhões de dólares no momento da redação, depois de o explorador ter usado os fundos roubados para pedir emprestado na Aave, deixando cerca de 195 milhões de dólares em "dívida incobrável", desencadeando saques no protocolo de empréstimo.
Fonte: LayerZero
LayerZero disse que a ponte rsETH da Kelp dependia exclusivamente do LayerZero Labs DVN, e argumentou que o incidente refletiu uma configuração de aplicação insegura em vez de um comprometimento do próprio LayerZero. A empresa disse que está agora a instar todas as aplicações que usam configurações DVN 1/1 a migrar para configurações multi-DVN e deixará de assinar ou atestar mensagens para aplicações que mantenham o design de verificador único.
Perdas desencadeiam disputa de culpas após exploração de 290 milhões de dólares da Kelp
Sem nenhum plano de recuperação ou compensação ainda anunciado, utilizadores e observadores do mercado passaram a segunda-feira a debater se as perdas deveriam ficar com a Kelp DAO, LayerZero, Aave ou os próprios detentores de rsETH.
Yishi Wang, fundador e CEO da carteira de hardware de código aberto OneKey, disse que o melhor caminho a seguir era negociar com o hacker, oferecer uma recompensa de 10% a 15%, e recuperar a maior parte dos fundos.
"Se as negociações falharem, o fundo ecológico da LayerZero deveria pagar a maior parte da conta—tem os bolsos mais fundos e o maior interesse a longo prazo no jogo", escreveu o fundador numa publicação X de segunda-feira, acrescentando que a Kelp DAO está "falida" e poderia compensar com tokens e receitas futuras, ou considerar vender o projeto.
O fundador pseudónimo da plataforma de análise DeFiLlama, 0xngmi, delineou três soluções, incluindo a opção de "socializar" perdas entre todos os utilizadores, "fazer dumping dos detentores de rsETH em L2s", ou tentar devolver os saldos dos detentores a um snapshot pré-hack, o que seria "muito difícil de fazer", escreveu numa publicação X de segunda-feira.
Fonte: 0xngmi
O Cointelegraph contactou a Aave para comentários, mas não tinha recebido uma resposta até à publicação.
Relacionado: Atacante do Hyperbridge cunha 1 mil milhões de tokens Polkadot em ponte em exploração de 237 mil dólares
Exploração aumenta riscos de liquidação da Aave
As preocupações dos investidores sobre a exploração da Kelp reduziram significativamente a liquidez de Ether (ETH) na Aave, o ativo de garantia central do protocolo de empréstimo.
Esta baixa liquidez apresenta um "risco crítico de segurança onde as liquidações de garantia ETH não podem ocorrer enquanto os mercados estão a 100% de utilização", disse MoneySupply, o chefe pseudónimo de estratégia no protocolo de empréstimo concorrente da Aave, Spark, numa publicação X de sábado.
"Com as atuais condições de iliquidez na Aave, uma queda de preço ETHUSD de 15-20% poderia causar uma acumulação significativa de dívida incobrável (além de quaisquer problemas potenciais atribuíveis à exploração direta de rsETH)", disse ele.
Fonte: Monetsupply
A Aave disse que congelou imediatamente todo o rsETH na Aave v3 e V4, evitando danos adicionais. Os próprios contratos inteligentes da Aave não foram explorados.
Revista: Conheça os detetives cripto onchain que combatem o crime melhor do que a polícia
- #Hackers
- #Cibercrime
- #Coreia do Norte
- #Cibersegurança
- #Hacks
- #DeFi
- #Aave
- #Burlas e Cibercrime
