LayerZero sagt, Kelp-Konfiguration verursachte Exploit, während Fragen zu Aave-Verlusten zunehmen

Das dezentrales Interoperabilitätsprotokoll LayerZero behauptet, dass eine unzureichende Konfiguration im Zusammenhang mit Kelps dezentralem Verifier-Netzwerk (DVN) es böswilligen Akteuren ermöglichte, 290 Millionen US-Dollar von Kelp DAO zu stehlen, und fügt hinzu, dass erste Anzeichen auf mit Nordkorea verbundene Bedrohungsakteure hindeuten.

Ein Angreifer entzog am Samstag etwa 116.500 Restaked ETH (rsETH) im damaligen Wert von etwa 292 bis 293 Millionen US-Dollar aus der von LayerZero betriebenen rsETH-Cross-Chain Brücke von Kelp DAO.

LayerZero erklärte am Montag, dass der Exploit von einem einzelnen Ausfallpunkt in Kelps Konfiguration herrührte, die sich auf ein einzelnes LayerZero DVN als einzigen verifizierten Pfad verließ, obwohl LayerZero ihnen zuvor davon abgeraten hatte.

In der Praxis bedeutete dies, dass Kelp sich auf einen einzigen Verifizierungspfad für Cross-chain-Nachrichten verließ, anstatt mehrere unabhängige Prüfungen zu verlangen.

Der Exploit verlagerte die Aufmerksamkeit schnell von der technischen Ursache auf die Frage, wer die Verluste tragen sollte, während sich die Auswirkungen auf Aave ausbreiteten, wo der Angreifer rsETH als Kollateralwerte verwendete, um echte Liquidität zu leihen.

Der Total Value Locked (TVL) von Aave ist zum Zeitpunkt der Veröffentlichung um etwa 8,9 Milliarden US-Dollar auf 17,5 Milliarden US-Dollar gefallen, nachdem der Exploiter die gestohlenen Mittel zum Leihen auf Aave verwendete und dabei etwa 195 Millionen US-Dollar an „Forderungsausfällen" hinterließ, was Auszahlungen auf dem Kreditprotokoll auslöste.

LayerZero erklärte, dass die rsETH-Brücke von Kelp ausschließlich auf dem LayerZero Labs DVN basierte, und argumentierte, dass der Vorfall eine unsichere Anwendungskonfiguration widerspiegelte und nicht eine Kompromittierung von LayerZero selbst. Das Unternehmen erklärte, dass es nun alle Anwendungen, die 1/1 DVN-Konfigurationen verwenden, dringend auffordert, zu Multi-DVN-Konfigurationen zu migrieren, und dass es aufhören wird, Nachrichten für Apps zu signieren oder zu bestätigen, die das Single-Verifier-Design beibehalten.

Verluste lösen Schuldzuweisungen nach 290-Millionen-US-Dollar-Kelp-Exploit aus

Da noch kein Wiederherstellungs- oder Entschädigungsplan angekündigt wurde, debattierten Benutzer und Marktbeobachter am Montag darüber, ob die Verluste bei Kelp DAO, LayerZero, Aave oder den rsETH-Inhabern selbst liegen sollten.

Yishi Wang, Gründer und CEO der Open-Source-Hardware-Wallet OneKey, sagte, dass der beste Weg nach vorne darin bestehe, mit dem Hacker zu verhandeln, eine Belohnung von 10 % bis 15 % anzubieten und den Großteil der Mittel zurückzubekommen.

„Wenn die Verhandlungen scheitern, sollte der Ökologische Fonds von LayerZero den Großteil der Rechnung übernehmen – er hat die tiefsten Taschen und das meiste langfristige Engagement", schrieb der Gründer in einem X-Beitrag am Montag und fügte hinzu, dass Kelp DAO „pleite" sei und es mit Token und zukünftigen Einnahmen ausgleichen oder den Token-Verkauf des Projekts in Betracht ziehen könnte.

Der pseudonyme Gründer der Analyseplattform DeFiLlama, 0xngmi, skizzierte drei Lösungen, darunter die Option, Verluste unter allen Benutzern zu „sozialisieren", „rsETH-Inhaber auf L2s zu betrügen" oder zu versuchen, die Guthaben der Inhaber auf einen Snapshot vor dem Hack zurückzusetzen, was „sehr schwer zu tun" wäre, schrieb er in einem X-Beitrag am Montag.

Cointelegraph wandte sich an Aave um einen Kommentar, hatte jedoch bis zur Veröffentlichung keine Antwort erhalten.

Verwandt: Hyperbridge-Angreifer prägt 1 Milliarde gebrückte Polkadot-Token in 237.000-US-Dollar-Exploit

Exploit erhöht Liquidationsrisiken bei Aave

Anlegerbedenken hinsichtlich des Kelp-Exploits haben die Ether (ETH)-Liquidität auf Aave, dem zentralen Kollateralwert des Kreditprotokolls, erheblich reduziert.

Diese geringe Liquidität stellt ein „kritisches Sicherheitsrisiko dar, bei dem Liquidationen von ETH-Kollateralwerte nicht stattfinden können, während die Märkte zu 100 % ausgelastet sind", sagte MoneySupply, der pseudonyme Leiter der Strategie beim Aave-Konkurrenten Kreditprotokoll Spark, in einem X-Beitrag am Samstag.

„Bei den aktuellen Illiquiditätsbedingungen auf Aave könnte ein ETHUSD-Preisrückgang von 15 bis 20 % zu einer erheblichen Anhäufung von Forderungsausfällen führen (zusätzlich zu allen potenziellen Problemen, die auf den direkten rsETH-Exploit zurückzuführen sind)", sagte er.

Aave erklärte, dass es sofort alle rsETH in Aave v3 und V4 eingefroren habe, um weiteren Schaden zu verhindern. Aaves eigene Smart Contracts wurden nicht kompromittiert.

Magazin: Lernen Sie die Onchain-Krypto-Detektive kennen, die Verbrechen besser bekämpfen als die Polizei