โปรโตคอลการทำงานร่วมกัน LayerZero อзаявว่าการตั้งค่าที่ไม่เพียงพอซึ่งเกี่ยวข้องกับเครือข่ายตัวตรวจสอบแบบกระจายอำนาจ (DVN) ของ Kelp ทำให้ผู้โจมตีสามารถขโมยเงิน 290 ล้านดอลลาร์จาก Kelp DAO โดยเพิ่มเติมว่าสัญญาณเบื้องต้นชี้ไปที่ผู้คุกคามที่เชื่อมโยงกับเกาหลีเหนือ
ผู้โจมตีได้ดูดเอา Restaked ETH (rsETH) ประมาณ 116,500 รายการ มีมูลค่าประมาณ 292-293 ล้านดอลลาร์ในขณะนั้น จากสะพาน rsETH ที่ขับเคลื่อนด้วย LayerZero ของ Kelp DAO เมื่อวันเสาร์
LayerZero กล่าวเมื่อวันจันทร์ว่าช่องโหว่นี้เกิดจากจุดล้มเหลวเดียวในการตั้งค่าของ Kelp ซึ่งพึ่งพา LayerZero DVN เพียงตัวเดียวเป็นเส้นทางที่ได้รับการตรวจสอบเพียงอย่างเดียว แม้ว่า LayerZero จะได้แนะนำไม่ให้ทำเช่นนี้มาก่อนแล้ว
ในทางปฏิบัติ นั่นหมายความว่า Kelp พึ่งพาเส้นทางการตรวจสอบเดียวสำหรับข้อความข้ามเชน แทนที่จะต้องมีการตรวจสอบอิสระหลายครั้ง
ช่องโหว่ดังกล่าวได้เปลี่ยนความสนใจอย่างรวดเร็วจากสาเหตุทางเทคนิคไปสู่คำถามว่าใครควรรับผิดชอบความสูญเสีย ในขณะที่ผลกระทบลุกลามไปยัง Aave ซึ่งผู้โจมตีใช้ rsETH เป็นหลักประกันเพื่อกู้ยืมสภาพคล่องที่แท้จริง
มูลค่าที่ล็อกทั้งหมด (TVL) ของ Aave ได้ลดลงประมาณ 8.9 พันล้านดอลลาร์เหลือ 17.5 พันล้านดอลลาร์ ณ เวลาที่เขียนบทความนี้ หลังจากที่ผู้โจรใช้เงินที่ขโมยมากู้ยืมบน Aave ทำให้เหลือ "หนี้เสีย" ประมาณ 195 ล้านดอลลาร์ ซึ่งกระตุ้นให้มีการถอนเงินในโปรโตคอลการให้กู้ยืม
ที่มา: LayerZero
LayerZero กล่าวว่าสะพาน rsETH ของ Kelp พึ่งพาเฉพาะ LayerZero Labs DVN เท่านั้น และโต้แย้งว่าเหตุการณ์นี้สะท้อนถึงการกำหนดค่าแอปพลิเคชันที่ไม่ปลอดภัยมากกว่าการถูกบุกรุก LayerZero เอง บริษัทกล่าวว่าขณะนี้กำลังกระตุ้นให้แอปพลิเคชันทั้งหมดที่ใช้การตั้งค่า DVN แบบ 1/1 ย้ายไปยังการกำหนดค่าหลาย DVN และจะหยุดการลงนามหรือการรับรองข้อความสำหรับแอปพลิเคชันที่ยังคงใช้การออกแบบตัวตรวจสอบเดียว
ความสูญเสียก่อให้เกิดการโทษกันหลังจากการโจมตี Kelp มูลค่า 290 ล้านดอลลาร์
โดยที่ยังไม่มีการประกาศแผนการกู้คืนหรือชดเชย ผู้ใช้และผู้สังเกตการณ์ตลาดใช้เวลาวันจันทร์อภิปรายว่าความสูญเสียควรตกเป็นของ Kelp DAO, LayerZero, Aave หรือผู้ถือ rsETH เอง
Yishi Wang ผู้ก่อตั้งและ CEO ของกระเป๋าเงินฮาร์ดแวร์โอเพนซอร์ส OneKey กล่าวว่าเส้นทางที่ดีที่สุดคือการเจรจากับแฮกเกอร์ เสนอค่าหัว 10% ถึง 15% และรับเงินส่วนใหญ่กลับคืนมา
"หากการเจรจาล้มเหลว กองทุนระบบนิเวศของ LayerZero ควรจ่ายค่าใช้จ่ายส่วนใหญ่ เพราะมีกระเป๋าลึกที่สุดและมีส่วนได้ส่วนเสียในระยะยาวมากที่สุด" ผู้ก่อตั้งเขียนในโพสต์ X เมื่อวันจันทร์ โดยเพิ่มว่า Kelp DAO "หมดตัว" และสามารถชดเชยด้วยโทเค็นและรายได้ในอนาคต หรือพิจารณาขายโครงการ
ผู้ก่อตั้งนามแฝงของแพลตฟอร์มวิเคราะห์ DeFiLlama คือ 0xngmi ได้สรุปวิธีแก้ปัญหาสามอย่าง รวมถึงตัวเลือกในการ "กระจายสังคม" ความสูญเสียในหมู่ผู้ใช้ทั้งหมด "ดึงพรมผู้ถือ rsETH บน L2s" หรือพยายามคืนยอดคงเหลือของผู้ถือไปยังภาพรวมก่อนการแฮ็ก ซึ่ง "จะทำได้ยากมาก" เขาเขียนในโพสต์ X เมื่อวันจันทร์
ที่มา: 0xngmi
Cointelegraph ได้ติดต่อ Aave เพื่อขอความเห็น แต่ยังไม่ได้รับการตอบกลับก่อนเผยแพร่
ที่เกี่ยวข้อง: ผู้โจมตี Hyperbridge สร้าง Polkadot tokens แบบ bridged 1 พันล้านรายการในการโจรกรรม 237K ดอลลาร์
ช่องโหว่เพิ่มความเสี่ยงการชำระบัญชีของ Aave
ความกังวลของนักลงทุนเกี่ยวกับช่องโหว่ของ Kelp ได้ลดสภาพคล่องของ Ether (ETH) บน Aave ซึ่งเป็นสินทรัพย์หลักประกันหลักของโปรโตคอลการให้กู้ยืมอย่างมีนัยสำคัญ
สภาพคล่องที่ต่ำนี้นำเสนอ "ความเสี่ยงด้านความปลอดภัยที่สำคัญซึ่งการชำระบัญชีหลักประกัน ETH ไม่สามารถเกิดขึ้นได้ในขณะที่ตลาดมีการใช้งาน 100%" MoneySupply หัวหน้ากลยุทธ์นามแฝงของโปรโตคอลการให้กู้ยืมคู่แข่ง Aave คือ Spark กล่าวในโพสต์ X เมื่อวันเสาร์
"ด้วยสภาวะสภาพคล่องต่ำในปัจจุบันบน Aave การลดลงของราคา ETHUSD 15-20% อาจทำให้เกิดการสะสมหนี้เสียอย่างมีนัยสำคัญ (นอกเหนือจากปัญหาใดๆ ที่อาจเกิดจากช่องโหว่ rsETH โดยตรง)" เขากล่าว
ที่มา: Monetsupply
Aave กล่าวว่าได้แช่แข็ง rsETH ทั้งหมดใน Aave v3 และ V4 ทันที เพื่อป้องกันความเสียหายเพิ่มเติม สัญญาอัจฉริยะของ Aave เองไม่ได้ถูกโจมตี
นิตยสาร: พบกับนักสืบคริปโตออนเชนที่ต่อสู้อาชญากรรมได้ดีกว่าตำรวจ
- #แฮกเกอร์
- #อาชญากรรมไซเบอร์
- #เกาหลีเหนือ
- #ความปลอดภัยทางไซเบอร์
- #การแฮ็ก
- #DeFi
- #Aave
- #การหลอกลวงและอาชญากรรมไซเบอร์
