پروتکل قابلیت همکاری غیرمتمرکز LayerZero ادعا میکند که یک تنظیم ناکافی مرتبط با شبکه تأیید کننده غیرمتمرکز (DVN) Kelp، عوامل مخرب را قادر ساخت تا 290 میلیون دلار از Kelp DAO بدزدند، و افزود که نشانههای اولیه به عوامل تهدیدکننده مرتبط با کره شمالی اشاره دارد.
یک مهاجم حدود 116,500 Restaked ETH (rsETH) به ارزش تقریبی 292 تا 293 میلیون دلار در آن زمان را از پل rsETH مبتنی بر LayerZero متعلق به Kelp DAO در روز شنبه تخلیه کرد.
LayerZero روز دوشنبه اعلام کرد که این سوءاستفاده ناشی از یک نقطه شکست واحد در تنظیمات Kelp بود که به یک DVN واحد LayerZero به عنوان تنها مسیر تایید شده متکی بود، علیرغم اینکه LayerZero قبلاً آنها را در برابر این کار هشدار داده بود.
در عمل، این بدان معنا بود که Kelp به جای نیاز به بررسیهای مستقل چندگانه، به یک مسیر تاییدیه واحد برای پیامهای میان زنجیره ای متکی بود.
این سوءاستفاده به سرعت توجه را از علت فنی به این سوال منتقل کرد که چه کسی باید ضررها را جذب کند، در حالی که پیامدها به Aave گسترش یافت، جایی که مهاجم از rsETH به عنوان دارایی های وثیقه برای قرض گرفتن نقدینگی واقعی استفاده کرد.
ارزش کل قفل شده (TVL) Aave پس از اینکه سوءاستفادهکننده از وجوه سرقت شده برای قرض گرفتن در Aave استفاده کرد، حدود 8.9 میلیارد دلار کاهش یافته و در زمان نگارش این مطلب به 17.5 میلیارد دلار رسیده است و حدود 195 میلیون دلار "بدهی معوق" باقی مانده که برداشتها را در پروتکل وامدهی فعال کرده است.
منبع: LayerZero
LayerZero گفت که پل rsETH متعلق به Kelp تنها به DVN آزمایشگاههای LayerZero متکی بود و استدلال کرد که این حادثه نشاندهنده یک پیکربندی ناامن برنامه است تا آسیبپذیری خود LayerZero. این شرکت گفت که اکنون همه برنامههای استفاده کننده از تنظیمات DVN 1/1 را ترغیب میکند تا به پیکربندیهای چند DVN مهاجرت کنند و از امضا یا تأیید پیامها برای برنامههایی که طراحی تأیید کننده واحد را حفظ میکنند، خودداری خواهد کرد.
ضررها پس از سوءاستفاده 290 میلیون دلاری Kelp جنگ سرزنش را برانگیخت
بدون اعلام هیچ برنامه بازیابی یا جبران خسارت، کاربران و ناظران بازار روز دوشنبه را صرف بحث در مورد اینکه آیا ضررها باید بر عهده Kelp DAO، LayerZero، Aave یا خود دارندگان rsETH باشد، کردند.
ییشی وانگ، بنیانگذار و مدیرعامل کیف پول سختافزاری منبع باز OneKey، گفت که بهترین راه پیش رو مذاکره با هکر، ارائه پاداشی بین 10٪ تا 15٪ و بازگرداندن بخش عمده وجوه است.
"اگر مذاکرات شکست بخورد، صندوق زیست محیطی LayerZero باید بخش عمده صورتحساب را پرداخت کند - این عمیقترین جیب و بیشترین منفعت بلندمدت در بازی را دارد"، بنیانگذار در پست دوشنبه X نوشت و افزود که Kelp DAO "ورشکسته" است و میتواند با توکنها و درآمد آینده جبران کند، یا فروش پروژه را در نظر بگیرد.
بنیانگذار ناشناس پلتفرم تحلیلی DeFiLlama، 0xngmi، سه راه حل را ترسیم کرد، از جمله گزینه "اجتماعی کردن" ضررها در بین همه کاربران، "دامپینگ دارندگان rsETH در L2ها"، یا تلاش برای بازگرداندن موجودی دارندگان به اسنپ شات یا عکس فوری قبل از هک، که "انجام آن بسیار سخت خواهد بود"، او در پست دوشنبه X نوشت.
منبع: 0xngmi
Cointelegraph برای دریافت نظر با Aave تماس گرفت، اما تا زمان انتشار پاسخی دریافت نکرده بود.
مرتبط: مهاجم Hyperbridge 1 میلیارد توکن پل شده Polkadot را در سوءاستفاده 237 هزار دلاری ضرب میکند
سوءاستفاده خطرات انحلال Aave را افزایش میدهد
نگرانیهای سرمایهگذاران در مورد سوءاستفاده Kelp به طور قابل توجهی نقدینگی Ether (ETH) را در Aave، دارایی وثیقه اصلی پروتکل وامدهی، کاهش داده است.
این نقدینگی کم یک "خطر امنیتی حیاتی ارائه میدهد که در آن انحلال دارایی های وثیقه ETH نمیتواند در حالی که بازارها در 100٪ استفاده هستند، انجام شود"، MoneySupply، رئیس ناشناس استراتژی در پروتکل وامدهی رقیب Aave یعنی Spark، در پست شنبه X گفت.
"با شرایط نقدینگی کم فعلی در Aave، افت 15 تا 20 درصدی قیمت ETHUSD میتواند باعث تجمع قابل توجه بدهی معوق شود (علاوه بر هر مشکل بالقوه قابل انتساب به سوءاستفاده مستقیم rsETH)"، او گفت.
منبع: Monetsupply
Aave گفت که بلافاصله تمام rsETH را در Aave v3 و V4 مسدود کرد و از آسیب بیشتر جلوگیری کرد. قراردادهای هوشمند خود Aave مورد سوءاستفاده قرار نگرفتند.
مجله: با کارآگاهان کریپتوی روی زنجیره که بهتر از پلیس با جرم مبارزه میکنند آشنا شوید
- #هکرها
- #جرایم سایبری
- #کره شمالی
- #امنیت سایبری
- #هکها
- #امور مالی غیر متمرکز با نام اختصاری دیفای
- #Aave
- #کلاهبرداری و جرایم سایبری
