LayerZero ütleb, et Kelpi seadistamine põhjustas turvarikke, samal ajal kui Aave kaotuste küsimused kogunevad

Ühildatavusprotokoll LayerZero väitis, et Kelpi decentraliseeritud verifitseerimisvõrgu (DVN) ebaõige seadistus võimaldas kurjategijatel varastada Kelp DAO-lt 290 miljonit USA dollarit ning lisas, et esialgsed tunnused viitavad Põhja-Korea ühendusega ohtlikele teguritele.

Ühe rünnaku käigus tühjendati Kelp DAO rsETH-sildalt, mille toetab LayerZero, laupäeval umbes 116 500 restaked ETH-i (rsETH), mille väärtus oli sel hetkel ligikaudu 292–293 miljonit USA dollarit.

LayerZero teatas esmaspäeval, et rünnak põhines Kelpi seadistuses olnud ühelaineline nõrga kohas, kus kasutati ainult üht LayerZero DVN-i kui ainsat verifitseeritud teed, kuigi LayerZero oli neile juba varem soovitanud seda vältida.

Praktikas tähendas see, et Kelp toetas ühekordset verifitseerimisteid ristahela sõnumite jaoks, mitte mitmeid sõltumatuid kontrolli.

Rünnak suunas kiiresti tähelepanu tehniliselt põhjustelt kaotuste kandmise küsimusele, samas kui tagajärjed leviku Aave’ni, kus rünnaku läbi teostaja kasutas rsETH-d kui tagatisvara reaalsete likviidsusvahendite laenamiseks.

Aave koguväärtus lukus (TVL) oli kirjutamise ajal langenud umbes 8,9 miljardilt USA dollari pealt 17,5 miljoni USA dollari peale pärast seda, kui rünnaku läbi teostaja kasutas varastatud vahendeid Aave’st laenamiseks, jäetes seal umbes 195 miljonit USA dollarit „halba võlgade“ kujul ning põhjustades laenamisprotokollis väljavõtmisi.

LayerZero ütles, et Kelpi rsETH-sild toetas ainult LayerZero Labs DVN-i ning väitis, et juhtum peegeldas ohutut rakendusseadistust, mitte LayerZero ise kompromitteerumist. Ettevõte ütleb nüüd kõigile rakendustele, kes kasutavad 1/1 DVN-seadistust, et nad peaksid liikuma üle mitme-DVN-konfiguratsioonile, ja lõpetab sõnumite allkirjastamise ja attesteerimise rakenduste jaoks, mis säilitavad ühe verifitseerija disaini.

Kaotused põhjustavad süüdistuste vahetust pärast 290 miljoni dollari suurust Kelpi rünnakut

Kuna taastamise või hüvitamise plaani ei ole veel teatatud, veetsid kasutajad ja turu vaatlejad esmaspäeva arutledes selle üle, kellele kaotused peaksid langema – kas Kelp DAO-le, LayerZero-le, Aave’le või rsETH-hoidjatele ise.

Avatud lähtekoodiga riistvarakotis OneKey asutaja ja tegevjuht Yishi Wang ütles, et parim edasine tee on läbi vestluste saavutada rünnaku läbi teostaja ja pakkuda 10–15% preemiad, et saada suur osa vahendeid tagasi.

„Kui läbirääkimised nurjutakse, peaks LayerZero ekosüsteemi fond kandma suurima osa kuludest – tal on kõige rohkem rahalisi ressursse ja kõige rohkem pikaajalist huvi,” kirjutas asutaja esmaspäeval X-is, lisades, et Kelp DAO on „lõppenud“ ja saab kaotusi tasuda tokenite ja tulevase tulu abil või kaaluda projektis müüki.

Analuusiplatvormi DeFiLlama anonüümne asutaja 0xngmi nimetas kolm lahendust, sealhulgas kaotuste „sotsialiseerimise“ kõigile kasutajatele, rsETH-hoidjate „rug“ tegemise L2-platvormidel või proovida tagastada hoidjate saldo enne rünnakut tehtud snapshotti, mille tegemine oleks „väga raske“, kirjutas ta esmaspäeval X-is.

Cointelegraph pöördus kommentaari saamiseks Aave poole, kuid avaldamise ajaks vastust ei saadud.

Seotud: Hyperbridge’i rünnaku läbi teostaja mintis 1 miljardit sildatud Polkadot-tokent 237 000 dollari suuruses rünnakus

Rünnak tõstab Aave likvideerimisriske

Investorite mure Kelpi rünnaku pärast on oluliselt vähendanud Etheri (ETH) likviidsust Aaves, mis on laenamisprotokolli põhiline tagatisvara.

„Selle madala likviidsusega tekib kriitiline ohutusrisk, kus ETH-tagatisvara likvideerimine ei saa toimuda siis, kui turud on 100% kasutatud,” ütles Aave konkurentide laenamisprotokolli Spark strateegiajuht ja anonüümne isik MoneySupply laupäeval X-is.

„Tänapäevastes Aave’i illikviidsustingimustes võib 15–20% ETHUSD hinna langus põhjustada olulise halva võlgade kogunemise (lisaks igasugustele potentsiaalsetele probleemidele, mis tulenevad otsestest rsETH-rünnakutest),” ütles ta.

Aave ütles, et see kinnistas kohe kõik rsETH-d Aave v3 ja v4 versioonis, takistades edasisi kahju. Aave enda nutikad lepingud ei olnud rünnatud.

Magazine: Tutvuge ahelaülese kriptovaluuta detektivitega, kes võitlevad kuritegudega paremini kui politsei