اختر منطقتك 
يدعي بروتوكول التشغيل البيني LayerZero أن الإعداد غير المناسب المرتبط بشبكة التحقق اللامركزية التابعة لـ Kelp (DVN) مكّن الجهات الفاعلة الخبيثة من سرقة 290 مليون دولار من Kelp DAO، مضيفًا أن العلامات الأولية تشير إلى جهات تهديد مرتبطة بكوريا الشمالية.
استنزف أحد المهاجمين حوالي 116,500 ETH (rsETH)، بقيمة تصل إلى 293 مليون دولار في ذلك الوقت، من جسر rsETH الذي يعمل بنظام LayerZero الخاص بـ Kelp DAO يوم السبت.
قال LayerZero يوم الاثنين أن الاستغلال نشأ من نقطة فشل واحدة في إعداد Kelp، الذي اعتمد على LayerZero DVN واحد باعتباره المسار الوحيد الذي تم التحقق منه، على الرغم من أن LayerZero نصحتهم سابقًا بعدم القيام بذلك.
“لقد قامت LayerZero والأطراف الخارجية الأخرى سابقًا بإرسال أفضل الممارسات حول تنويع DVN إلى KelpDAO. وعلى الرغم من هذه التوصيات، اختار KelpDAO استخدام تكوين 1/1 DVN.”
من الناحية العملية، كان ذلك يعني أن شركة Kelp تعتمد على مسار تحقق واحد للرسائل عبر السلسلة بدلاً من طلب عمليات فحص مستقلة متعددة.
وسرعان ما حولت هذه الثغرة الانتباه من السبب التقني إلى مسألة من يجب أن يستوعب الخسائر، في حين انتشرت التداعيات إلى Aave، حيث استخدم المهاجم rsETH كضمان لاقتراض سيولة حقيقية.
انخفضت القيمة الإجمالية لـ Aave المقفلة (TVL) بنحو 8.9 مليار دولار إلى 17.5 مليار دولار في وقت كتابة هذا التقرير بعد أن استخدم المستغل الأموال المسروقة للاقتراض من Aave، مما ترك حوالي 195 مليون دولار في “ديون معدومة”، مما أدى إلى عمليات سحب على بروتوكول الإقراض.
قال LayerZero إن جسر rsETH الخاص بـ Kelp يعتمد فقط على LayerZero Labs DVN، وجادل بأن الحادث يعكس تكوين تطبيق غير آمن بدلاً من التنازل عن LayerZero نفسه. قالت الشركة إنها تحث الآن جميع التطبيقات التي تستخدم إعدادات 1/1 DVN على الانتقال إلى تكوينات DVN المتعددة وستتوقف عن التوقيع أو التصديق على الرسائل للتطبيقات التي تحتفظ بتصميم المتحقق الفردي.
تثير الخسائر معركة اللوم بعد استغلال عشب البحر بقيمة 290 مليون دولار
مع عدم الإعلان عن خطة استرداد أو تعويض حتى الآن، أمضى المستخدمون ومراقبو السوق يوم الاثنين في مناقشة ما إذا كان يجب أن يتحمل حاملي Kelp DAO أو LayerZero أو Aave أو rsETH أنفسهم الخسائر.
قال ييشي وانغ، المؤسس والرئيس التنفيذي لمحفظة الأجهزة مفتوحة المصدر OneKey، إن أفضل طريق للمضي قدمًا هو التفاوض مع المتسلل وتقديم مكافأة تتراوح من 10٪ إلى 15٪ واسترداد الجزء الأكبر من الأموال.
كتب المؤسس في منشور يوم الاثنين X: “إذا فشلت المفاوضات، فيجب على صندوق النظام البيئي الخاص بـ LayerZero أن يدفع الجزء الأكبر من الفاتورة – فهو يمتلك أعمق الجيوب وأطول مدة في اللعبة”، مضيفًا أن Kelp DAO “مفلس” ويمكنه تعويضه بالرموز والإيرادات المستقبلية، أو التفكير في بيع المشروع.
حدد المؤسس المستعار لمنصة التحليلات DeFiLlama، 0xngmi، ثلاثة حلول، بما في ذلك خيار “المشاركة الاجتماعية” للخسائر بين جميع المستخدمين، أو “حاملي rsETH على L2s”، أو محاولة إعادة أرصدة المالك إلى لقطة ما قبل الاختراق، وهو ما سيكون “صعبًا للغاية”، كما كتب في منشور يوم الاثنين X.
تواصل كوينتيليغراف مع Aave للتعليق، لكنه لم يتلق ردًا حتى النشر.
متعلق ب: قام مهاجم Hyperbridge بصك 1B من رموز Polkadot الجسرية في استغلال بقيمة 237 ألف دولار
الاستغلال يثير مخاطر تصفية Aave
أدت مخاوف المستثمرين بشأن استغلال Kelp إلى تقليل سيولة إيثريوم (ETH) بشكل كبير على Aave، وهو الأصل الإضافي الأساسي لبروتوكول الإقراض.
قال MoneySupply، رئيس الإستراتيجية في بروتوكول الإقراض المنافس Aave Spark، في منشور يوم السبت X، إن هذه السيولة المنخفضة تمثل “خطرًا كبيرًا على السلامة حيث لا يمكن إجراء تصفية لضمانات ETH بينما تكون الأسواق في حالة استخدام بنسبة 100٪”.
وقال: “في ظل ظروف عدم السيولة الحالية في Aave، قد يؤدي انخفاض سعر ETHUSD بنسبة 15-20٪ إلى تراكم كبير للديون المعدومة (بالإضافة إلى أي مشكلات محتملة تعزى إلى استغلال rsETH المباشر)”.
وقالت Aave إنها قامت على الفور بتجميد جميع rsETH في Aave v3 وV4، مما منع المزيد من الضرر. ولم يتم استغلال العقود الذكية الخاصة بشركة Aave.
مجلة: تعرف على محققي العملات المشفرة onchain الذين يحاربون الجريمة بشكل أفضل من رجال الشرطة
