इंटरऑपरेबिलिटी प्रोटोकॉल LayerZero का दावा है कि Kelp के विकेंद्रीकृत सत्यापनकर्ता नेटवर्क (DVN) से जुड़े अपर्याप्त सेटअप ने दुर्भावनापूर्ण अभिनेताओं को Kelp DAO से $290 मिलियन चुराने में सक्षम बनाया, और यह जोड़ते हुए कि प्रारंभिक संकेत उत्तर कोरिया से जुड़े खतरे वाले अभिनेताओं की ओर इशारा करते हैं।
एक हमलावर ने शनिवार को Kelp DAO के LayerZero-संचालित rsETH ब्रिज से लगभग 116,500 Restaked ETH (rsETH) निकाल लिए, जिसकी कीमत उस समय लगभग $292-$293 मिलियन थी।
LayerZero ने सोमवार को कहा कि यह शोषण Kelp के सेटअप में एकल विफलता बिंदु से उत्पन्न हुआ, जो एकमात्र सत्यापित पथ के रूप में एकल LayerZero DVN पर निर्भर था, इसके बावजूद कि LayerZero ने पहले उन्हें इसके खिलाफ सलाह दी थी।
व्यवहार में, इसका मतलब था कि Kelp क्रॉसचेन संदेशों के लिए एकल सत्यापन पथ पर निर्भर था, कई स्वतंत्र जांचों की आवश्यकता के बजाय।
शोषण ने तकनीकी कारण से ध्यान जल्दी से इस सवाल पर स्थानांतरित कर दिया कि नुकसान किसे उठाना चाहिए, जबकि असर Aave में फैल गया, जहां हमलावर ने वास्तविक तरलता उधार लेने के लिए rsETH को संपार्श्विक के रूप में उपयोग किया।
Aave का कुल मूल्य लॉक (TVL) लेखन के समय लगभग $8.9 बिलियन गिरकर $17.5 बिलियन हो गया है, इसके बाद शोषणकर्ता ने चोरी के धन का उपयोग Aave पर उधार लेने के लिए किया, लगभग $195 मिलियन का "बैड डेट" छोड़ते हुए, जिससे लेंडिंग प्रोटोकॉल पर निकासी शुरू हो गई।
स्रोत: LayerZero
LayerZero ने कहा कि Kelp का rsETH ब्रिज पूरी तरह से LayerZero Labs DVN पर निर्भर था, और तर्क दिया कि घटना LayerZero की खुद की समझौता के बजाय एक असुरक्षित एप्लिकेशन कॉन्फ़िगरेशन को दर्शाती है। कंपनी ने कहा कि वह अब 1/1 DVN सेटअप का उपयोग करने वाले सभी एप्लिकेशन से मल्टी-DVN कॉन्फ़िगरेशन में माइग्रेट करने का आग्रह कर रही है और एकल सत्यापनकर्ता डिज़ाइन बनाए रखने वाले ऐप्स के लिए संदेशों पर हस्ताक्षर या प्रमाणन बंद कर देगी।
$290 मिलियन Kelp शोषण के बाद नुकसान ने दोष लड़ाई छेड़ दी
अभी तक कोई रिकवरी या मुआवजा योजना घोषित नहीं होने के साथ, उपयोगकर्ताओं और बाजार पर्यवेक्षकों ने सोमवार को बहस की कि नुकसान Kelp DAO, LayerZero, Aave या rsETH धारकों के साथ होना चाहिए।
ओपन-सोर्स हार्डवेयर वॉलेट OneKey के संस्थापक और सीईओ Yishi Wang ने कहा कि आगे का सबसे अच्छा रास्ता हैकर के साथ बातचीत करना, 10% से 15% इनाम की पेशकश करना और धन का बड़ा हिस्सा वापस पाना था।
"यदि बातचीत विफल होती है, तो LayerZero के इकोसिस्टम फंड को बिल का बड़ा हिस्सा भरना चाहिए—इसमें सबसे गहरी जेब है और खेल में सबसे अधिक दीर्घकालिक हिस्सेदारी है," संस्थापक ने सोमवार की X पोस्ट में लिखा, यह जोड़ते हुए कि Kelp DAO "दिवालिया" है और टोकन और भविष्य के राजस्व से इसे पूरा कर सकता है, या परियोजना को बेचने पर विचार कर सकता है।
एनालिटिक्स प्लेटफॉर्म DeFiLlama के छद्म नाम वाले संस्थापक, 0xngmi, ने तीन समाधान रेखांकित किए, जिसमें सभी उपयोगकर्ताओं के बीच नुकसान को "सामाजिक बनाने" का विकल्प, "L2s पर rsETH धारकों को रग करना," या धारक शेष राशि को प्री-हैक स्नैपशॉट पर वापस करने का प्रयास करना शामिल है, जो "करना बहुत मुश्किल होगा," उन्होंने सोमवार की X पोस्ट में लिखा।
स्रोत: 0xngmi
Cointelegraph ने टिप्पणी के लिए Aave से संपर्क किया, लेकिन प्रकाशन तक कोई प्रतिक्रिया प्राप्त नहीं हुई थी।
संबंधित: Hyperbridge हमलावर ने $237K शोषण में 1B ब्रिज्ड Polkadot टोकन मिंट किए
शोषण ने Aave परिसमापन जोखिम बढ़ाए
Kelp शोषण के बारे में निवेशक चिंताओं ने Aave पर Ether (ETH) तरलता को काफी कम कर दिया है, जो लेंडिंग प्रोटोकॉल की मुख्य संपार्श्विक संपत्ति है।
यह कम तरलता एक "महत्वपूर्ण सुरक्षा जोखिम प्रस्तुत करती है जहां बाजार 100% उपयोग पर होने के दौरान ETH संपार्श्विक का परिसमापन नहीं हो सकता है," MoneySupply ने कहा, जो Aave प्रतिस्पर्धी लेंडिंग प्रोटोकॉल Spark में रणनीति के छद्म नाम वाले प्रमुख हैं, शनिवार की X पोस्ट में।
"Aave पर वर्तमान अतरलता स्थितियों के साथ, ETHUSD मूल्य में 15-20% की गिरावट महत्वपूर्ण बैड डेट संचय का कारण बन सकती है (प्रत्यक्ष rsETH शोषण के कारण किसी भी संभावित मुद्दों के अलावा)," उन्होंने कहा।
स्रोत: Monetsupply
Aave ने कहा कि उसने Aave v3 और V4 में सभी rsETH को तुरंत फ्रीज कर दिया, आगे के नुकसान को रोकते हुए। Aave के अपने स्मार्ट कॉन्ट्रैक्ट्स का शोषण नहीं किया गया।
मैगजीन: पुलिस से बेहतर अपराध से लड़ने वाले ऑनचेन क्रिप्टो जासूसों से मिलें
- #हैकर्स
- #साइबर अपराध
- #उत्तर कोरिया
- #साइबर सुरक्षा
- #हैक्स
- #DeFi
- #Aave
- #घोटाले और साइबर अपराध
