Керівництво ЛейєрЗеро вказує, що невідповідність налаштувань DVN компанії Кельп призвела до збитків у $290 мільйонів, і як інвестори запитували, який протокол візьме на себе відповідальність за збиток.
Протокол міжмережної взаємодії ЛейєрЗеро стверджує, що незадовільна конфігурація, пов’язана з мережею розподілених верифікаторів DVN компанії Кельп, дозволила зловмисникам вкрадати $290 мільйонів з Кельп DAO У них є попередня інформація щодо лінка з Північною Кореєю.
Надмірник вивів близько 116 500 Restaked ETH (rsETH), що є майже у розмірі $292 – 293 мільйонів у цей час, з LayerZero-підтриманої rsETH місткості на Кельп DAO в неділю.
ЛейєрЗеро повідомило у понеділок, що збитки виникли через окремий момент відмови в налаштуваннях Кельп, які залежали лише від однієї мережі розподілених верифікаторів ЛейєрЗеро як віртуальної верифікаційної траси, хоча раніше вони вже радили їм уникати цієї помилки.
На практиці це означало, що Кельп повністю залежав від однієї верифікаційної доріжки для міжмережної взаємодії, а не вимагав кілька незалежних перевірок.
Збільшення збитків швидко змінило увагу з технічної причини на питання, хто повинен взяти на себе відповідальність за збиток, тоді як наслідки поширилися на Aave, де зловмисник використовував rsETH як забезпечення для отримання справжньої ліквідності.
Значення в закріпленні Aave (TVL) зменшилося приблизно на $8,9 мільярда до $17,5 мільярда на момент публікації після того, як зловмисник використав вкрадені кошти для отримання лінії кредитування на Aave, залишивши біля 195 мільйонів доларів США в якості «зловживань» та спричинивши відхід коштів на лінію позики.
ЛейєрЗеро повідомило, що місткість Кельп на rsETH повністю залежала лише від мережі розподілених верифікаторів ЛейєрЗеро, і посули, що цей інцидент відбувся через небезпечну конфігурацію застосування, а не компрометування ЛейєрЗеро самої
Компанія тепер закликає всі програми, які використовують конфігурацію 1/1 DVN, міграцію до багатоваріантних конфігурацій DVN і зупиняє підписання чи підтвердження повідомлень для програм, які зберігали окремий зовнішній інтерфейс.
У зв’язку з відсутністю планів відновлення чи виплати інвестиції користувачів та спостерігачі ринку витратили понеділок на дискусії щодо того, хто повинен взяти на себе відповідальність за збиток – Кельп DAO, ЛейєрЗеро, Aave чи власники rsETH.
Володелець засновника та керівник відкритої джерело системи безпеки OneKey, Їші Ван, вважає, що найкращим шляхом слідування було б домовитися з зловмисником, запропонувати від 10% до 15% бонусу, і отримати більшу частину коштів назад.
«Якщо спроби домовитися невдаються, фонд екосистеми ЛейєрЗеро повинен взяти більшу частку збитків на себе – воно має найбільші кишені і найбільші перспективи на довгострокові ризики,» написав засновник у понеділковий Xpost, додавши, що Кельп DAO «банкрутський» і може заплатити за збиток за допомогою токенів та майбутньої діяльності або навіть продати проєкт.
Аналітичний портал DeFiLlama його неофіційний засновник, 0xngmi, висунув три рішення – «сплати збитки між усіма користувачами», «заподіяти збитки власникам rsETH на рівень 2» чи спробувати повернути баланси власників до попереднього моменту збитків, що було б дуже важким виконати його написав у понеділковий Xpost.
Криптовалютній компанії Cointelegraph було надіслано запит на коментар, але на момент публікації не було отримано відповіді.
Связане:Hyperbridge хакер отримує 1 мільярд bridged Polkadot tokenu в експлуатації вартістю $237 тисяч доларів Інвестори Кельп експлуатуції підуть дуже швидко, зменшуючи ліквідність ефіру на Aave, який є основним активом ліквідності в лізингові протоколи.
Ця низька ліквідність створює «критичний ризик безпеки у випадках ліквідації ефіру як забезпечення, коли ринки знаходяться на рівні 100% використання,» за словами MoneySupply, неофіційний керівник стратегії конкурента Aave лізингової системи Spark, у понеділковому Xpost.
«З поточними умовами низької ліквідності на Aave зниження цін на ефіру на 15-20% може призвести до значного накопичення зловживань (покрім будь-яких потенційних ризиків, пов’язаних із прямою експлуатацією rsETH),» сказав він.
Aave повідомила про негайну блокування всіх rsETH в Aave v3 та V4 для запобігання подальших збитків Акції Aave були не експлуатованими.
Журнал:Meet the on-chain crypto detectives, які краще виконують злочини, ніж поліція.
За матеріалами CoinTelegraph