LayerZero обвинила Kelp в уязвимости после эксплойта, вопросы к убыткам Aave растут
Протокол LayerZero заявил, что уязвимость возникла из-за неправильной настройки сети верификации Kelp. По их словам, это позволило злоумышленникам украсть около $290 млн у Kelp DAO. Предварительно подозрения указывают на хакеров, связанных с Северной Кореей.
В результате атаки злоумышленник вывел около 116 500 restaked ETH (rsETH) на сумму до $293 млн на момент инцидента. Средства были похищены через мост rsETH, работающий на LayerZero, в субботу.
В понедельник LayerZero сообщил, что причиной стал единичный критический сбой в настройке Kelp. Проект использовал только один DVN в качестве единственного канала верификации, несмотря на рекомендации распределять проверку между несколькими узлами.
«LayerZero и другие участники ранее рекомендовали KelpDAO диверсифицировать DVN. Несмотря на это, KelpDAO выбрали конфигурацию 1/1 DVN».
По сути, Kelp полагался на один канал проверки межсетевых сообщений, вместо того чтобы использовать несколько независимых уровней верификации.
После взлома внимание быстро сместилось с технических причин на главный вопрос, кто будет покрывать убытки. Ситуация задела и Aave, где злоумышленник использовал rsETH как залог, чтобы занять реальные средства.
На этом фоне TVL Aave снизился примерно на $8,9 млрд, до $17,5 млрд на момент написания. Хакер занял ликвидность под украденные активы, из-за чего образовалось около $195 млн «плохого долга», что спровоцировало волну выводов средств из протокола.
LayerZero заявил, что мост rsETH в Kelp работал только через один DVN от LayerZero Labs. По их словам, проблема была не в самой сети LayerZero, а в небезопасной конфигурации приложения.
Читайте также: Как Mastercard собирается проводить карточные платежи через стейблкоины
Компания уже призывает все проекты с конфигурацией 1/1 DVN перейти на модель с несколькими DVN. Также LayerZero планирует прекратить подтверждение транзакций для приложений, которые продолжают использовать один канал верификации.
После взлома на $290 млн начались споры, кто покроет убытки
Поскольку ни план возврата средств, ни компенсации пока не озвучены, пользователи и участники рынка начали спорить, на ком должны лежать потери. Среди вариантов называют Kelp DAO, LayerZero, Aave или самих держателей rsETH.
Основатель и CEO аппаратного кошелька OneKey Иши Ванг считает, что лучший вариант — договориться с хакером. Он предложил выплатить вознаграждение в размере 10–15% и вернуть большую часть средств.
«Если договориться не получится, основную часть убытков должен взять на себя фонд экосистемы LayerZero. У него больше всего ресурсов и долгосрочная заинтересованность», — написал он в X, добавив, что Kelp DAO сейчас «на мели» и может компенсировать потери токенами или будущими доходами, либо даже рассмотреть продажу проекта.
Основатель аналитической платформы DeFiLlama под ником 0xngmi предложил три возможных сценария. Среди них распределение убытков между всеми пользователями, списание потерь на держателей rsETH в L2 или попытка откатить балансы к состоянию до взлома, что, по его словам, будет крайне сложно реализовать.
Эксплойт усилил риски ликвидаций на Aave
После взлома Kelp инвесторы начали активно выводить ликвидность из Aave, что заметно снизило доступный объём ETH, основного залогового актива протокола.
На этом фоне возник серьёзный риск для системы. По словам главы стратегии протокола Spark под ником MoneySupply, при текущей нехватке ликвидности ликвидации могут просто не сработать, если рынок загружен на 100%.
«В текущих условиях на Aave падение цены ETH на 15–20% может привести к накоплению значительного плохого долга, помимо проблем, связанных с самим эксплойтом rsETH», — отметил он.
В ответ Aave оперативно заморозила весь rsETH в версиях v3 и V4, чтобы остановить дальнейшие риски. При этом собственные смарт-контракты протокола взломаны не были.