LayerZero zegt dat Kelp-configuratie exploit veroorzaakte, terwijl vragen over Aave-verlies toenemen

Interoperabiliteitsprotocol LayerZero beweert dat een inadequate configuratie gekoppeld aan het gedecentraliseerde verificatienetwerk (DVN) van Kelp kwaadwillende actoren in staat stelde om $290 miljoen te stelen van Kelp DAO, en voegt daaraan toe dat eerste aanwijzingen wijzen op dreigingsactoren gelinkt aan Noord-Korea.

Een aanvaller heeft op zaterdag ongeveer 116.500 Restaked ETH (rsETH), ter waarde van ongeveer $292-$293 miljoen op dat moment, weggesluisd van Kelp DAO's LayerZero-aangedreven rsETH bridge.

LayerZero zei maandag dat de exploit voortkwam uit een single point of failure in de configuratie van Kelp, die afhankelijk was van een enkele LayerZero DVN als enige geverifieerde pad, ondanks dat LayerZero hen hier eerder tegen had geadviseerd.

In de praktijk betekende dit dat Kelp afhankelijk was van een enkel verificatiepad voor crosschain-berichten in plaats van meerdere onafhankelijke controles te vereisen.

De exploit verschoof snel de aandacht van de technische oorzaak naar de vraag wie de verliezen zou moeten dragen, terwijl de gevolgen zich verspreidden naar Aave, waar de aanvaller rsETH als onderpand gebruikte om echte liquiditeit te lenen.

Aave's total value locked (TVL) is gedaald met ongeveer $8,9 miljard naar $17,5 miljard ten tijde van het schrijven nadat de exploiter de gestolen fondsen gebruikte om te lenen op Aave, waardoor ongeveer $195 miljoen aan "slechte schulden" overbleef, wat opnames op het leenprotocol triggerde.

LayerZero zei dat Kelp's rsETH bridge uitsluitend vertrouwde op de LayerZero Labs DVN, en voerde aan dat het incident een onveilige applicatieconfiguratie weerspiegelde in plaats van een compromittering van LayerZero zelf. Het bedrijf zei dat het nu alle applicaties die 1/1 DVN-configuraties gebruiken aanspoort om te migreren naar multi-DVN-configuraties en zal stoppen met het ondertekenen of attesteren van berichten voor apps die het enkele verificatieontwerp behouden.

Verliezen leiden tot schuldstrijd na $290 miljoen Kelp-exploit

Zonder dat er nog een herstel- of compensatieplan is aangekondigd, brachten gebruikers en marktobservanten maandag debatterend door of de verliezen bij Kelp DAO, LayerZero, Aave of rsETH-houders zelf zouden moeten liggen.

Yishi Wang, oprichter en CEO van open-source hardware wallet OneKey, zei dat de beste weg vooruit was om te onderhandelen met de hacker, een bounty van 10% tot 15% aan te bieden en het grootste deel van de fondsen terug te krijgen.

"Als onderhandelingen mislukken, zou LayerZero's ecosysteemfonds het grootste deel van de rekening moeten betalen—het heeft de diepste zakken en het meeste langetermijnbelang in het spel," schreef de oprichter in een maandag X-bericht, en voegde eraan toe dat Kelp DAO "blut" is en het zou kunnen goedmaken met tokens en toekomstige inkomsten, of zou kunnen overwegen om het project te verkopen.

De pseudonieme oprichter van analyseplatform DeFiLlama, 0xngmi, schetste drie oplossingen, waaronder de optie om verliezen te "socialiseren" onder alle gebruikers, "rsETH-houders op L2s te ruggen," of te proberen om de saldi van houders terug te brengen naar een pre-hack snapshot, wat "zeer moeilijk te doen" zou zijn, schreef hij in een maandag X-bericht.

Cointelegraph nam contact op met Aave voor commentaar, maar had ten tijde van publicatie geen reactie ontvangen.

Gerelateerd: Hyperbridge-aanvaller mint 1B gebridgde Polkadot-tokens in $237K exploit

Exploit vergroot Aave-liquidatierisico's

Zorgen van beleggers over de Kelp-exploit hebben de Ether (ETH) liquiditeit op Aave, het kernonderpandactivum van het leenprotocol, aanzienlijk verminderd.

Deze lage liquiditeit vormt een "kritiek veiligheidsrisico waarbij liquidaties van ETH-onderpand niet kunnen plaatsvinden terwijl markten op 100% benutting zitten," zei MoneySupply, het pseudonieme hoofd strategie bij Aave-concurrent leenprotocol Spark, in een zaterdag X-bericht.

"Met de huidige illiquiditeitsomstandigheden op Aave zou een prijsdaling van 15-20% ETHUSD aanzienlijke accumulatie van slechte schulden kunnen veroorzaken (bovenop eventuele problemen die toe te schrijven zijn aan de directe rsETH-exploit)," zei hij.

Aave zei dat het onmiddellijk alle rsETH in Aave v3 en V4 bevroor, waardoor verdere schade werd voorkomen. Aave's eigen smart contracts werden niet geëxploiteerd.

Magazine: Ontmoet de onchain crypto-detectives die criminaliteit beter bestrijden dan de politie