Протокол взаимодействия LayerZero утверждает, что неадекватная настройка, связанная с децентрализованной сетью верификаторов Kelp, позволила злоумышленникам украсть $290 миллионов из Kelp DAO, добавляя, что предварительные признаки указывают на связь злоумышленников с Северной Кореей.
В субботу злоумышленник похитил около 116 500 Restaked ETH (rsETH), стоимость которых на тот момент составляла до $293 миллионов, с моста rsETH, принадлежащего Kelp DAO и работающего на основе протокола LayerZero.
В понедельник компания LayerZero заявила, что уязвимость возникла из-за единой точки отказа в настройке Kelp, которая полагалась на единственный DVN-сервер LayerZero в качестве единственного проверенного пути, несмотря на то, что LayerZero ранее рекомендовала им этого избегать.
«Компания LayerZero и другие сторонние организации ранее сообщали KelpDAO о передовых методах диверсификации DVN. Несмотря на эти рекомендации, KelpDAO предпочла использовать конфигурацию DVN 1/1».
На практике это означало, что Kelp полагался на единый путь проверки для сообщений, передаваемых между сетями, вместо того, чтобы требовать множества независимых проверок.
В результате взлома внимание быстро переключилось с технических причин на вопрос о том, кто должен понести убытки, а последствия затронули Aave, где злоумышленник использовал rsETH в качестве залога для заимствования реальной ликвидности.
На момент публикации общая заблокированная стоимость Aave снизилась примерно на $8,9 млрд. до $17,5 млрд. после того, как злоумышленник использовал украденные средства для заимствования через Aave, оставив около $195 млн. «безнадежной задолженности», что привело к выводу средств из кредитного протокола.
Компания LayerZero заявила, что мост rsETH от Kelp полностью полагался на DVN от LayerZero Labs, и утверждала, что инцидент отражает небезопасную конфигурацию приложения, а не компрометацию самой LayerZero. Компания заявила, что теперь настоятельно призывает все приложения, использующие конфигурации DVN 1/1, перейти на многоканальные конфигурации DVN и прекратит подписывать или подтверждать сообщения для приложений, которые сохранят схему с одним верификатором.
Убытки спровоцировали спор о том, кто виноват
Поскольку план восстановления или компенсации пока не объявлен, пользователи и наблюдатели рынка в понедельник обсуждали, должны ли убытки лечь на плечи самих держателей Kelp DAO, LayerZero, Aave или rsETH.
Иши Ван, основатель и генеральный директор компании OneKey, занимающейся разработкой аппаратного кошелька с открытым исходным кодом, заявил, что лучшим выходом было бы договориться с хакером, предложить вознаграждение в размере 10-15% и вернуть большую часть украденных средств.
«Если переговоры провалятся, основную часть расходов должен оплатить фонд экосистемы LayerZero — у него самые большие финансовые ресурсы и наибольшая долгосрочная заинтересованность», — написал основатель в понедельник в посте на X, добавив: «Kelp DAO разорился и может покрыть убытки за счет токенов и будущих доходов или рассмотреть возможность продажи проекта».
Анонимный основатель аналитической платформы DeFiLlama, 0xngmi, предложил три решения, включая возможность «социализации» потерь среди всех пользователей, «закрепление держателей rsETH на уровне L2» или попытку вернуть балансы держателей к состоянию до взлома, что, по его словам, «было бы очень сложно сделать», как он написал в понедельник в посте на X.
Использование уязвимости повышает риски ликвидации Aave
Обеспокоенность инвесторов по поводу уязвимости Kelp значительно снизила ликвидность ETH на Aave, основном залоговом активе протокола кредитования.
«Низкий уровень ликвидности представляет собой критический риск для безопасности, поскольку ликвидация залога в ETH невозможна, пока рынки загружены на 100%», — заявил MoneySupply, анонимный руководитель отдела стратегии в Spark, протоколе кредитования, конкурирующем с Aave, в субботнем посте на X.
«В условиях нынешней неликвидности на Aave падение цены ETHUSD на 15-20% может привести к значительному накоплению безнадежных долгов (в дополнение к любым потенциальным проблемам, связанным с эксплойтом rsETH)», — сказал он.
Компания Aave заявила, что немедленно заморозила все rsETH в Aave v3 и V4, предотвратив дальнейший ущерб. Собственные смарт-контракты Aave не были взломаны.
Читайте также:
