#KelpDAO跨链桥遭攻击

Последние новости — Kelp DAO обвиняет LayerZero и друг друга в атаке на уязвимость на сумму 292 миллиона долларов

18 апреля,跨链桥 Kelp DAO, поддерживаемый Zero Layer, потерял 116 500 токенов rsETH, стоимостью около 292 миллионов долларов, ставшей крупнейшей уязвимостью DeFi в этом году. Атакующие получили список RPC-узлов, используемых децентрализованной проверочной сетью LayerZero Labs (DVN). Затем злоумышленники подделали два RPC-узла и запустили DDoS-атаку, вынудив DVN принять поддельные межцепочные сообщения, что привело к подписанию нелегальной транзакции.

Ранее в опубликованном отчёте LayerZero раскритиковала конфигурацию DVN Kelp DAO 1 к 1, указав, что из-за отсутствия необходимой независимой проверки для выявления мошеннических межцепочных сообщений возникла точка отказа. В отчёте говорится: «LayerZero и другие внешние организации ранее передавали Kelp DAO рекомендации по диверсификации распределённой виртуальной сети (DVN). Несмотря на эти рекомендации, Kelp DAO всё же выбрала конфигурацию DVN 1/1.»

С другой стороны, Kelp DAO в понедельник опубликовала заявление, смягчающее свою прямую ответственность за инцидент. Вину за настройку DVN 1 к 1 перекладывают на LayerZero.

В заявлении на X говорится: «Настройка DVN 1 к 1 — это конфигурация, зафиксированная в документации LayerZero, и является стандартной для любого нового развертывания OFT. С января 2024 года Kelp работает на инфраструктуре LayerZero и всегда поддерживала открытые каналы связи с командой LayerZero.» Kelp также добавила, что проблема конфигурации DVN была поднята при расширении на L2, когда настройка «явно признавалась подходящей».

Этот межцепочный мост также отметил, что его предварительные меры реагирования — включая приостановку соответствующих контрактов и внесение в черный список кошельков, связанных с атакующими — помогли контролировать ситуацию.

😞Обвиняя друг друга, невиновный AAVE заявил, что очень пострадал, кто возьмёт на себя ответственность за более чем 200 миллионов убытков?

Злоумышленники перевели украденные активы в версию Aave V3. Они использовали rsETH в качестве залога для заимствования большого количества WETH, что увеличило риск неплатежеспособности протокола.

По последнему отчёту Aave, злоумышленник предоставил 89 567 rsETH (примерно 221 миллион долларов) в качестве залога и занял 82 650 WETH и 821 wstETH, что привело к очень низкому коэффициенту здоровья позиций. В протоколе на основе текущих данных описаны два гипотетических сценария убытков, поскольку Kelp ещё не объявила официально о распределении убытков или планах взыскания.

Первый сценарий предполагает равномерное распределение убытков, при котором около 112 204 rsETH будут распределены по всем цепочкам. Это приведёт к 15,12% дезактивации и убыткам для Aave примерно на 113,7 миллионов долларов.

Второй сценарий предполагает, что убытки ограничены rsETH на L2, при этом rsETH в основной сети Ethereum остаётся полностью поддерживаемым. В этом случае залоговые активы на L2 сократятся на 73,54%. Это вызовет убытки до 230,1 миллиона долларов на рынках L2, таких как Mantle, Arbitrum и Base.

Aave заявил: «Какой сценарий произойдёт, зависит от решений, неподконтрольных Aave, в основном от методов учета rsETH и обновления курса LRTOracle.»

Кроме того, Aave отметил, что у DAO Aave есть активы на сумму 181 миллион долларов, их состояние хорошее, и участники экосистемы сделали несколько обещаний поддержки протокола в случае возникновения убытков.