#KelpDAO跨链桥遭攻击

آخر التطورات - Kelp DAO تتبادل الاتهامات مع LayerZero بشأن هجوم ثغرة بقيمة 292 مليون دولار

18 أبريل، خسرت جسر التبادل عبر السلاسل المدعوم من قبل Zero Layer، Kelp DAO، 116,500 رمز rsETH، بقيمة حوالي 292 مليون دولار، ليصبح أكبر ثغرة في DeFi حتى الآن هذا العام. حصل المهاجم على قائمة عقد RPC المستخدمة في شبكة التحقق اللامركزية (DVN) الخاصة بـ LayerZero Labs. ثم قام المهاجم بتعديل عقدي RPC وشن هجوم DDoS، مما أجبر DVN على قبول رسائل عبر السلاسل مزورة، وبالتالي توقيع معاملة غير قانونية.

في وقت سابق، انتقدت LayerZero في تقرير أصدرته تكوين DVN 1:1 الخاص بـ Kelp DAO، مشيرة إلى أنه بسبب نقص التحقق المستقل الضروري لالتقاط رسائل عبر السلاسل الاحتيالية، حدثت نقطة فشل واحدة. وقال التقرير: "لقد أبلغت LayerZero وغيرها من الجهات الخارجية سابقًا Kelp DAO بأفضل الممارسات لتنويع الشبكة الافتراضية الموزعة (DVN). على الرغم من هذه النصائح، اختارت Kelp DAO الاعتماد على تكوين DVN 1/1."

من ناحية أخرى، أصدر Kelp DAO يوم الاثنين بيانًا يقلل من مسؤوليته المباشرة عن الحادث. ووجه اللوم على تكوين DVN 1:1 إلى LayerZero.

كتب Kelp في بيان على X: "تكوين DVN 1:1 هو إعداد موثق في وثائق LayerZero، وهو أيضًا الإعداد الافتراضي لأي نشر جديد لـ OFT. منذ يناير 2024، كانت Kelp تعمل على بنية LayerZero التحتية، وتواصلت دائمًا مع فريق LayerZero بشكل مفتوح." وأضاف أن مشكلة تكوين DVN أُثيرت عند التوسع إلى L2، حيث تم تأكيد الإعداد الافتراضي على أنه مناسب بشكل واضح.

كما أشار الجسر عبر السلاسل إلى أن تدابيره الأولية للاستجابة، بما في ذلك إيقاف العقود ذات الصلة ووضع المحافظ المرتبطة بالمهاجم في القائمة السوداء، ساعدت في السيطرة على الوضع.

😞 الطرفان يتبادلان الاتهامات، و AAVE البريء يعبر عن ألمه، من يدير أكثر من 200 مليون دولار من الديون المعدومة؟

قام المهاجم بتخزين كمية كبيرة من الأصول المسروقة في إصدار Aave V3. استخدم المهاجم rsETH كضمان لاقتراض كمية كبيرة من WETH، مما زاد من مخاطر الديون المعدومة في البروتوكول.

وفقًا لتقرير أحدث حادثة من Aave، زعم أن المهاجم قدم 89,567 rsETH (بقيمة حوالي 221 مليون دولار) كضمان، واقترض 82,650 WETH و821 wstETH، مما أدى إلى انخفاض ملحوظ في معامل الصحة لهذه المراكز. استعرض البروتوكول سيناريوهين افتراضيين للديون المعدومة استنادًا إلى البيانات الحالية، حيث لم تعلن Kelp رسميًا عن خطة لتوزيع الخسائر أو التحصيل.

السيناريو الأول يصف توزيع الخسائر بشكل متساوٍ، مع افتراض أن حوالي 112,204 rsETH ستُوزع بالتساوي على جميع السلاسل. هذا سيؤدي إلى إلغاء ربط بنسبة 15.12%، ويكبد Aave خسائر بقيمة حوالي 123.7 مليون دولار.

أما السيناريو الثاني، فهو أن الخسائر تقتصر على rsETH في L2، مع استمرار دعم rsETH على شبكة إيثريوم الرئيسية. في هذه الحالة، ستنخفض الضمانات في L2 بنسبة 73.54%. هذا سيؤدي إلى ظهور خسائر تصل إلى 230.1 مليون دولار في أسواق WETH في L2 مثل Mantle وArbitrum وBase.

قال Aave: "ما سيحدث يعتمد على قرارات خارج سيطرة Aave، خاصة طريقة معالجة rsETH من قبل المحاسبة وطريقة تحديث سعر صرف LRTOracle."

بالإضافة إلى ذلك، ذكر Aave أن DAO الخاص به يمتلك أصولًا بقيمة 181 مليون دولار، وأن الحالة المالية جيدة، وأنه تلقى العديد من الالتزامات من المشاركين في النظام البيئي لدعم البروتوكول في حال حدوث خسائر.