El protocolo de interoperabilidad LayerZero afirma que una configuración inadecuada relacionada con la red de verificadores descentralizados (DVN) de Kelp permitió que actores maliciosos robaran 290 millones de dólares de Kelp DAO, agregando que los signos preliminares apuntan a actores de amenazas vinculados a Corea del Norte.
Un atacante drenó alrededor de 116.500 Restaked ETH (rsETH), valorados en hasta 293 millones de dólares en el momento, del puente rsETH de Kelp DAO impulsado por LayerZero el sábado.
LayerZero dijo el lunes que el exploit se originó en un punto único de falla en la configuración de Kelp, que se basaba en un solo DVN de LayerZero como la única ruta verificada, a pesar de que LayerZero previamente les había aconsejado en contra de esto.
“LayerZero y otras partes externas previamente comunicaron las mejores prácticas sobre la diversificación de DVN a KelpDAO. A pesar de estas recomendaciones, KelpDAO optó por utilizar una configuración DVN 1/1.”
En la práctica, eso significaba que Kelp se basaba en una sola ruta de verificación para mensajes entre cadenas en lugar de requerir verificaciones independientes múltiples.
El exploit cambió rápidamente la atención de la causa técnica a la pregunta de quién debería absorber las pérdidas, mientras que las consecuencias se extendieron a Aave, donde el atacante utilizó rsETH como garantía para pedir prestada liquidez real.
El valor total bloqueado (TVL) de Aave cayó en aproximadamente 8.900 millones de dólares a 12.500 millones de dólares en el momento de escribir esto después de que el explotador utilizara los fondos robados para pedir prestado en Aave, dejando alrededor de 195 millones de dólares en “deuda incobrable”, lo que desencadenó retiros en el protocolo de préstamos.
LayerZero dijo que el puente rsETH de Kelp se basaba únicamente en el DVN de LayerZero Labs, y argumentó que el incidente reflejaba una configuración de aplicación insegura en lugar de un compromiso de LayerZero en sí mismo. La compañía dijo que ahora está instando a todas las aplicaciones que utilizan configuraciones DVN 1/1 a migrar a configuraciones multi-DVN y dejará de firmar o atestiguar mensajes para aplicaciones que retengan el diseño de verificador único.
Las pérdidas generan lucha por la culpa después del exploit de Kelp de 290 millones de dólares
Sin un plan de recuperación o compensación anunciado, los usuarios y observadores del mercado pasaron el lunes debatiendo si las pérdidas deberían estar con Kelp DAO, LayerZero, Aave o los propios titulares de rsETH.
Yishi Wang, fundador y CEO de la billetera de hardware de código abierto OneKey, dijo que el mejor camino a seguir era negociar con el hacker, ofrecer una recompensa del 10% al 15% y recuperar la mayor parte de los fondos.
“Si las negociaciones fallan, el fondo de ecosistema de LayerZero debería cubrir la mayor parte de la factura: tiene los bolsillos más profundos y la piel más a largo plazo en el juego”, escribió el fundador en un publicación del lunes en X, agregando que Kelp DAO está “en quiebra” y podría compensar con tokens y ingresos futuros, o considerar vender el proyecto.
La plataforma de análisis DeFiLlama, cuyo fundador se conoce como 0xngmi, describió tres soluciones, incluida la opción de “socializar” las pérdidas entre todos los usuarios, “estafar a los titulares de rsETH en L2”, o intentar devolver los saldos de los titulares a una instantánea previa al hackeo, lo que sería “muy difícil de hacer”, escribió en una publicación del lunes en X.
Cointelegraph se puso en contacto con Aave para obtener comentarios, pero no había recibido una respuesta al momento de la publicación.
El exploit aumenta los riesgos de liquidación de Aave
Las preocupaciones de los inversores sobre el exploit de Kelp han reducido significativamente la liquidez de Ether (ETH) en Aave, el activo colateral central del protocolo de préstamos.
Esta baja liquidez presenta un “riesgo de seguridad crítico donde las liquidaciones de colateral ETH no pueden tener lugar mientras los mercados están al 100% de utilización”, dijo MoneySupply, el jefe de estrategia seudónimo de Aave en un publicación del sábado en X.
“Con las condiciones actuales de iliquidez en Aave, una caída del precio ETHUSD del 15-20% podría causar una acumulación significativa de deuda incobrable (además de cualquier problema atribuible al exploit directo de rsETH)”, dijo.
Aave dijo que inmediatamente congeló todo rsETH en Aave v3 y V4, evitando daños adicionales. Los propios contratos inteligentes de Aave no fueron explotados.
