#KelpDAO跨链桥遭攻击

Останні новини — Kelp DAO звинувачують LayerZero у взаємних звинуваченнях щодо атаки на вразливість на 292 мільйони доларів

18 квітня, через злом мосту міжланцюгових транзакцій, підтримуваного Zero Layer, Kelp DAO втратила 116 500 токенів rsETH, вартістю приблизно 292 мільйони доларів, ставши найбільшою у цьому році уразливістю DeFi. Зловмисник отримав список RPC-нодів, що використовуються децентралізованою мережею верифікації LayerZero Labs (DVN). Потім зловмисник підмінив два RPC-ноди та запустив DDoS-атаку, змусивши DVN прийняти підроблені міжланцюгові повідомлення, що призвело до підписання незаконної транзакції.

Раніше у звіті LayerZero критикував конфігурацію DVN Kelp DAO 1 до 1, зазначаючи, що через відсутність необхідної незалежної перевірки для виявлення шахрайських міжланцюгових повідомлень виникає точка відмови. У звіті йдеться: «LayerZero та інші зовнішні організації раніше повідомляли Kelp DAO про найкращі практики диверсифікації децентралізованої мережі верифікації (DVN). Незважаючи на ці рекомендації, Kelp DAO обрала конфігурацію DVN 1/1.»

З іншого боку, Kelp DAO у понеділок опублікувала заяву, зменшуючи свою безпосередню відповідальність за цю ситуацію. Вони звинуватили LayerZero у відповідальності за конфігурацію DVN 1 до 1.

У заяві на X (Twitter) Kelp написала: «Конфігурація DVN 1/1 — це налаштування, зафіксоване в документації LayerZero, і є стандартною для будь-яких нових розгортань OFT. З січня 2024 року Kelp працює на інфраструктурі LayerZero і завжди підтримує відкритий канал зв’язку з командою LayerZero.» Kelp також додала, що питання конфігурації DVN було піднято при розгортанні на L2, коли за замовчуванням налаштування «були чітко визнані відповідними».

Цей міжланцюговий міст також заявив, що його попередні заходи — включаючи призупинення відповідних контрактів і внесення у чорний список гаманців, пов’язаних із зловмисником — допомогли контролювати ситуацію.

😞Обидві сторони звинувачують одна одну, невинний AAVE каже, що йому боляче, хто відповідатиме за понад 200 мільйонів збитків?

Зловмисник зберіг значну частину викрадених активів у версії Aave V3. Використовуючи rsETH як заставу, він позичив велику кількість WETH, що збільшує ризик непогашених боргів у протоколі.

Згідно з останнім звітом Aave, зловмисник надав 89 567 rsETH (вартістю близько 221 мільйонів доларів) як заставу і позичив 82 650 WETH та 821 wstETH, що призвело до дуже низького коефіцієнта здоров’я цих позицій. Протокол на основі поточних даних описав два сценарії можливих збитків, оскільки Kelp ще не оголосила офіційний план розподілу збитків або стягнення.

Перший сценарій передбачає рівномірний розподіл збитків, при якому близько 112 204 rsETH буде рівномірно розподілено між усіма ланцюгами. Це призведе до 15,12% розбалансування і збитків для Aave приблизно на 1,237 мільярда доларів.

Другий сценарій передбачає, що збитки обмежуються лише rsETH на L2, тоді як rsETH у основній мережі Ethereum залишиться повністю підтримуваним. У цьому випадку застави на L2 будуть зменшені на 73,54%. Це спричинить збитки на ринках WETH таких L2, як Mantle, Arbitrum і Base, до 230,1 мільйона доларів.

Aave заявила: «Яка з ситуацій станеться, залежить від рішень, які не контролює Aave, головним чином від обробки rsETH у бухгалтерії та оновлення курсу LRTOracle.»

Крім того, Aave повідомила, що DAO Aave має активи на 181 мільйон доларів, їх стан хороший, і вона отримала кілька обіцянок від учасників екосистеми щодо підтримки протоколу у разі збитків.