Автор Chao Cheng Zedong тема Новости

LayerZero связывает взлом Kelp с ошибочной настройкой верификации, потери затронули Aave

LayerZero связывает взлом Kelp с ошибочной настройкой верификации, потери затронули Aave

Протокол межсетевого взаимодействия LayerZero заявил, что кража средств у Kelp DAO произошла из‑за некорректной конфигурации, связанной с децентрализованной сетью верификаторов (DVN) проекта Kelp. По предварительным признакам, к атаке могут быть причастны хакеры, связываемые с Северной Кореей.

По данным LayerZero, злоумышленник вывел около 116 500 Restaked ETH (rsETH) — примерно на $292–293 млн на момент инцидента — из моста rsETH, который работал на базе LayerZero. Компания сообщила, что причиной стал «единственный пункт отказа»: в настройках Kelp использовался один DVN как единственный подтвержденный путь, хотя ранее LayerZero рекомендовала диверсифицировать верификаторов.

Фактически это означало, что кроссчейн-сообщения проходили по одному пути проверки, без необходимости подтверждения несколькими независимыми участниками.

После атаки обсуждение быстро сместилось от технических деталей к вопросу, кто должен покрывать убытки. Ситуация затронула и Aave: атакующий использовал rsETH в качестве залога, чтобы занять «реальную» ликвидность.

TVL Aave, по оценкам, снизился примерно на $8,9 млрд — до $17,5 млрд на момент публикации — после того как злоумышленник задействовал похищенные средства для займов, оставив порядка $195 млн «плохого долга» и спровоцировав выводы средств из протокола.

Источник: LayerZero

LayerZero подчеркнула, что мост rsETH в Kelp опирался только на DVN от LayerZero Labs, и настаивает: речь идет о небезопасной конфигурации приложения, а не о компрометации LayerZero. Компания призвала проекты с конфигурацией 1/1 DVN перейти на схему с несколькими DVN и заявила, что перестанет подписывать или аттестовать сообщения для приложений, сохраняющих дизайн с одним верификатором.

Споры о том, кто компенсирует потери после взлома Kelp на $290 млн

Пока план восстановления или компенсаций не объявлен, пользователи и участники рынка обсуждают, должны ли убытки лечь на Kelp DAO, LayerZero, Aave или на держателей rsETH.

Основатель и CEO OneKey Иши Ван считает, что оптимальным вариантом было бы договориться с хакером, предложив вознаграждение 10–15%, чтобы вернуть основную часть средств.

В случае провала переговоров, по его мнению, большую часть расходов должен взять на себя экосистемный фонд LayerZero как сторона с наибольшими ресурсами и долгосрочной заинтересованностью. Он также отметил, что у Kelp DAO может не хватить средств, и проекту придется компенсировать ущерб токенами и будущими доходами либо рассмотреть продажу.

Псевдонимный основатель DeFiLlama 0xngmi описал три возможных подхода: распределить потери между всеми пользователями, переложить ущерб на держателей rsETH в L2, либо попытаться восстановить балансы по снимку до взлома — что, по его словам, будет крайне сложно.

Источник: 0xngmi

Инцидент усилил риски ликвидаций в Aave

Опасения инвесторов из‑за взлома Kelp, как отмечается, заметно снизили ликвидность Ether (ETH) на Aave — ключевого залогового актива протокола.

Глава стратегии Spark под псевдонимом MoneySupply предупредил, что такая низкая ликвидность создает критический риск: при 100% утилизации рынков ликвидации залога в ETH могут стать невозможными.

По его оценке, при текущих условиях неликвидности на Aave падение цены ETH/USD на 15–20% способно привести к существенному росту «плохого долга», дополнительно к проблемам, напрямую связанным с взломом rsETH.

Источник: Monetsupply

Aave сообщила, что оперативно заморозила все операции с rsETH в Aave v3 и v4, чтобы предотвратить дальнейший ущерб. При этом собственные смарт‑контракты Aave взлому не подверглись.

Источники: LayerZero, 0xngmi, Monetsupply, Aave (X)