Iš „Kelp DAO” pavogta 290 mln. USD – „LayerZero” kaltina nesaugią konfigūraciją
Tarpgrandininio suderinamumo protokolas „LayerZero“ teigia, kad netinkama konfigūracija, susijusi su „Kelp“ decentralizuotu verifikavimo tinklu (DVN), sudarė sąlygas nusikaltėliams pasisavinti apie 290 mln. JAV dolerių vertės lėšas iš „Kelp DAO“. Bendrovės teigimu, pirminiai požymiai rodo galimą su Šiaurės Korėja siejamų grėsmių vykdytojų pėdsaką.
Šeštadienį užpuolikas iš „Kelp DAO“ „LayerZero“ technologija paremtos rsETH tiltų infrastruktūros išsiurbė apie 116 500 „Restaked ETH“ (rsETH). Tuo metu jų vertė siekė iki 293 mln. JAV dolerių.
„LayerZero“ pirmadienį nurodė, kad incidentą lėmė vienas kritinis pažeidžiamumo taškas „Kelp“ sistemos nustatymuose: sprendimas pasikliauti vienu „LayerZero“ DVN kaip vieninteliu patikrintu keliu, nors anksčiau protokolas esą patarė taip nedaryti.
„„LayerZero“ ir kitos išorinės šalys anksčiau „KelpDAO“ komunikavo gerąją praktiką dėl DVN diversifikavimo. Nepaisant šių rekomendacijų, „KelpDAO“ pasirinko naudoti 1/1 DVN konfigūraciją“, – teigiama „LayerZero“ pranešime.
Praktiškai tai reiškė, kad tarpgrandininėms žinutėms patvirtinti buvo naudojamas vienas verifikavimo kelias, vietoje kelių nepriklausomų patikrų, kurios sumažintų vieno taško gedimo riziką.
Nors pradžioje daug dėmesio skirta techninei atakai, netrukus diskusija persikėlė į klausimą, kas turėtų prisiimti nuostolius. Tuo pat metu pasekmės pasiekė ir skolinimo protokolą „Aave“ – užpuolikas panaudojo rsETH kaip užstatą, kad pasiskolintų realaus likvidumo.
Skelbiama, kad po to, kai pavogtos lėšos buvo panaudotos skolinimuisi „Aave“, protokole susidarė apie 195 mln. JAV dolerių „blogų skolų“, o tai paskatino dalies vartotojų lėšų atsiėmimus. Tuo metu „Aave“ bendras užrakinto turto rodiklis (TVL) buvo sumažėjęs maždaug 8,9 mlrd. JAV dolerių – iki 17,5 mlrd. JAV dolerių.
„LayerZero“ pabrėžė, kad „Kelp“ rsETH tiltas rėmėsi tik „LayerZero Labs“ DVN, o pats incidentas esą atspindi nesaugų konkrečios programos sukonfigūravimą, o ne „LayerZero“ kompromitavimą. Bendrovė nurodė raginanti visas programas, naudojančias 1/1 DVN schemą, pereiti prie kelių DVN konfigūracijos, taip pat pranešė nebeketinanti pasirašinėti ar tvirtinti žinučių toms sistemoms, kurios ir toliau naudos vieno verifikatoriaus dizainą.
Po 290 mln. atakos – ginčas, kas turi padengti nuostolius
Kol kas nepaskelbus nei lėšų susigrąžinimo, nei kompensavimo plano, pirmadienį bendruomenėje ir rinkos stebėtojų gretose virė diskusijos, ar nuostoliai turėtų tekti „Kelp DAO“, „LayerZero“, „Aave“, ar patiems rsETH turėtojams.
Atvirojo kodo aparatinės piniginės „OneKey“ įkūrėjas ir vadovas Yishi Wang teigė, kad geriausias kelias būtų derėtis su užpuoliku, pasiūlyti 10–15 proc. atlygį ir susigrąžinti didžiąją dalį lėšų.
„Jei derybos žlugtų, didžiąją dalį sąskaitos turėtų padengti „LayerZero“ ekosistemos fondas – jis turi didžiausias finansines galimybes ir ilgalaikį interesą“, – rašė jis, pridurdamas, kad „Kelp DAO“ esą neturi pakankamai resursų, o sprendimas galėtų būti ieškomas per žetonus ir būsimą projekto pajamų srautą arba net svarstant projekto pardavimą.
Tuo metu analitikos platformos „DeFiLlama“ pseudoniminis įkūrėjas 0xngmi įvardijo kelis galimus scenarijus: nuostolių „išskaidymą“ tarp visų vartotojų, rsETH turėtojų „L2“ tinkluose nuostolių perėmimą, arba bandymą grąžinti balansus į būseną iki įsilaužimo, nors tai, jo teigimu, būtų itin sudėtinga.
Ataka didina „Aave“ likvidavimo rizikas
Investuotojų nerimas dėl „Kelp“ incidento reikšmingai sumažino „Ether“ likvidumą „Aave“ protokole. „Ether“ yra pagrindinis užstato turtas, todėl jo likvidumo kritimas laikomas rizikingu visai skolinimo infrastruktūrai.
„Spark“ (konkuruojančio skolinimo protokolo) strategijos vadovas, prisistatantis slapyvardžiu „MoneySupply“, įspėjo, kad esant žemam likvidumui atsiranda „kritinė saugumo rizika“, kai „Ether“ užstato likvidavimai negali vykti, jei rinkos pasiekia 100 proc. panaudojimą.
„Esant dabartinėms nelikvidumo sąlygoms „Aave“, 15–20 proc. „ETHUSD“ kainos kritimas gali sukelti reikšmingą blogų skolų augimą (be galimų problemų, tiesiogiai susijusių su rsETH ataka)“, – teigė jis.
„Aave“ pranešė, kad nedelsdama įšaldė visą rsETH „Aave v3“ ir „Aave v4“ versijose, taip užkirsdama kelią tolesnei žalai. Pabrėžiama, kad pačios „Aave“ išmaniosios sutartys nebuvo išnaudotos.
