DeFiLlama के सह-संस्थापक ने $293M KelpDAO हैक के परिणामों को सुलझाने के लिए 3 रास्ते सुझाए

18 अप्रैल को KelpDAO पर हुई $293 मिलियन की हैक ने Aave, rsETH धारकों और व्यापक DeFi इकोसिस्टम को एक ऐसे छेद के सामने खड़ा कर दिया है जिसे भरने का तरीका किसी को नहीं पता।

लेकिन रविवार को, DeFiLlama के सह-संस्थापक 0xngmi ने तीन यथार्थवादी विकल्प प्रस्तुत किए और प्रत्येक पर आंकड़े दिए।

तीन परिदृश्य, कोई भी साफ नहीं

0xngmi का पहला विकल्प नुकसान को फैलाना है। उनके अनुसार, यदि KelpDAO सभी उपयोगकर्ताओं में नुकसान को सामाजिक रूप से वितरित करता है, तो इसका परिणाम 18.5% की कटौती होगी। Aave तैनाती में लगभग 666,000 rsETH मौजूद हैं, और अधिकांश मेननेट पोजीशन अधिकतम लोन-टू-वैल्यू अनुपात (LTV) के करीब लूप्ड हैं, इसलिए 0xngmi का मॉडल मानता है कि वे अनिवार्य रूप से लिक्विडेशन पर हैं।

उन पोजीशनों में सभी इक्विटी को समाप्त करने से लगभग $216 मिलियन का बैड डेट बचता है, और Aave की Umbrella ETH कवरेज इसमें से $55 मिलियन को अवशोषित करेगी, जबकि प्रोटोकॉल की ट्रेजरी $85 मिलियन और कवर कर सकती है, जो लगभग $76 मिलियन का अंतर छोड़ देगी। इसे बंद करने के लिए, 0xngmi ने सुझाव दिया कि Aave या तो लोन ले सकता है या अपने AAVE ट्रेजरी टोकन को लिक्विडेट कर सकता है। वह भंडार वर्तमान में लगभग $51 मिलियन मूल्य का है।

विकल्प दो बहुत बदसूरत है, क्योंकि इसका मतलब लेयर 2 चेन पर rsETH धारकों को "रगिंग" करना होगा। इससे Aave के पास $359 मिलियन की rsETH आपूर्ति बचेगी, और यह मानते हुए कि यह सब अधिकतम LTV पर लूप्ड था, यह लेंडिंग मार्केट में $341 मिलियन का बैड डेट बनाएगा। लेकिन चूंकि Umbrella इसमें से कुछ भी कवर नहीं करता है, 0xngmi ने कहा कि Aave को यह चुनना होगा कि किन बाजारों को बचाना है और किन्हें छोड़ना है, जिसमें Arbitrum, Mantle और Base को सबसे बड़े नुकसान का सामना करना पड़ सकता है।

तीसरा विकल्प, जबकि तकनीकी रूप से सबसे आकर्षक है, इसे पूरा करना सबसे कठिन हो सकता है। इसमें हैक से पहले के स्नैपशॉट पर वापस जाना और केवल प्रत्यक्ष पीड़ितों को पूरा करने की कोशिश करना शामिल है। इसका मतलब होगा $124 मिलियन वापस करना जो हैकर ने कथित तौर पर Aave से लिया था और Arbitrum से $18 मिलियन और। लेकिन समस्या यह है कि हैक के बाद से, पैसा पूल्ड प्रोटोकॉल में बहुत घूमा है, जिससे एक जमाकर्ता के फंड को दूसरे से स्पष्ट रूप से अलग करना मुश्किल हो गया है।

OneKey के संस्थापक Yishi ने भी एक चौथे रास्ते के लिए जोर दिया जो 0xngmi के फ्रेमवर्क से बाहर है: पहले हैकर के साथ बातचीत करें, उन्हें 10% से 15% बाउंटी की पेशकश करें, और किसी भी कठिन निर्णय लेने से पहले अधिकांश पैसे वापस लाने की कोशिश करें। यदि वह विफल हो जाता है, तो Yishi ने तर्क दिया कि LayerZero के इकोसिस्टम फंड को अधिकांश बिल वहन करना चाहिए, इसके संसाधनों और OFT इकोसिस्टम को संरक्षित करने में दीर्घकालिक हित को देखते हुए।

दो लेनदेन में $293M कैसे गए

Cyvers के संस्थापक Meir Dolev ने KelpDAO हमले के लिए ऑन-चेन टाइमलाइन का पुनर्निर्माण किया, और यह तेजी से आगे बढ़ता है। हमलावर का वॉलेट कुछ भी होने से लगभग 10 घंटे पहले Tornado Cash के माध्यम से फंड किया गया था। फिर, 18 अप्रैल को 17:35 UTC पर, दो लेनदेन हुए: LayerZero के ReceiveUIn302 पर commitVerification, इसके 24 सेकंड बाद EndpointV2 पर IzReceive। उस दूसरे लेनदेन ने एक ही बार में 116,500 rsETH को निकाल दिया, जिसका मूल्य लगभग $293.5 मिलियन था।

KelpDAO के मल्टीसिग ने 18:23 UTC पर rsETH पर हमलावर के प्राप्तकर्ता पते को ब्लैकलिस्ट करके जवाब दिया, और यह काम कर गया। 3 मिनट बाद एक दूसरा प्रयास, जो लगभग $100 मिलियन मूल्य के 40,000 rsETH और ले जाता, ब्लैकलिस्ट से टकराया और रिवर्ट हो गया।

Dolev के अनुसार, मूल कारण काफी सरल था: KelpDAO के Unichain-से-Ethereum ब्रिज को फंड जारी करने के लिए केवल एक DVN प्रमाणीकरण की आवश्यकता थी। उस एक सत्यापन को जाली बनाने से हैकर को $293 मिलियन स्थानांतरित करने की अनुमति मिली।

LayerZero ने भी अपना स्वयं का बयान प्रकाशित किया जिसमें हमले को Lazarus Group की TraderTraitor यूनिट को जिम्मेदार ठहराया गया। कंपनी ने कहा कि प्रोटोकॉल ने डिजाइन के अनुसार काम किया और KelpDAO के 1-of-1 DVN कॉन्फ़िगरेशन को कारण के रूप में सीधे इंगित किया, यह नोट करते हुए कि इसने पहले सभी इंटीग्रेशन पार्टनर्स को मल्टी-DVN सेटअप की सिफारिश की थी।

सुरक्षा शोधकर्ता Andy अधिक स्पष्ट थे, KelpDAO के $1.5 बिलियन उपयोगकर्ता फंड रखते हुए एकल DVN चलाने के निर्णय को "अत्यंत गैर-जिम्मेदार" कहते हुए और चेतावनी देते हुए कि दर्जनों अन्य प्रोटोकॉल अभी भी बिल्कुल वही सेटअप चला रहे हैं।

पोस्ट DeFiLlama Co-Founder Suggests 3 Paths to Resolve $293M KelpDAO Hack Fallout सबसे पहले CryptoPotato पर दिखाई दी।