Kelp yang dicuri, banyak istilah teknis, kalau diterjemahkan ke bahasa manusia cuma beberapa kalimat.

Bagaimana dicurinya?
$RAVE ‌
Dua node RPC yang dikelola LayerZero diretas, node ketiga diserang DDoS sampai down. Kelp pakai konfigurasi default DVN 1/1 yang direkomendasikan dalam dokumen LayerZero—singkatnya "verifikasi tanda tangan tunggal", satu kunci bisa buka pintu. Penyerang memalsukan pesan lintas rantai, mencetak 116.000 rsETH dari udara, bernilai 292 juta dolar. Kelp bilang ini salah infrastruktur LayerZero, LayerZero bilang siapa suruh tidak pakai multi-DVN, banteg bilang kalian semua bohong, ini batas kepercayaan internal yang ditembus.
$AAVE ‌
Berapa banyak utang yang ditanggung Aave?

Penyerang menyimpan rsETH hasil curian sebagai jaminan di Aave, meminjam 82.000 WETH. Aave membekukan pasar rsETH, tapi kerugian sudah terjadi. LlamaRisk hitung dua skenario:

· Distribusi global: kerugian sekitar 123,7 juta dolar
· L2 tanggung sendiri: kerugian sekitar 230,1 juta dolar
$BTC ‌
0xngmi hitung skenario ketiga: menyerah pada pemegang rsETH di L2, kerugian terburuk 341 juta dolar, Umbrella tidak mampu menutup, Aave harus tanggung sendiri.

Aset di gudang Aave sekitar 181 juta dolar, menutup kerugian lebih dari 200 juta sangat sulit.

Reaksi berantai

Lido berhenti deposit earnETH, Ethena perpanjang penangguhan jembatan lintas rantai, lebih dari 15 protokol berhenti secara preventif jembatan LayerZero OFT.

Intinya

Kepercayaan antar pihak, tidak ada yang merasa akan terjadi masalah. Pemilik rsETH mengira Kelp sudah melakukan manajemen risiko, Kelp mengira konfigurasi default LayerZero aman, LayerZero mengira proyek akan melakukan multi-tanda tangan. Hasilnya 29,2 juta hilang, kerugian dari 12 juta sampai 34 juta, uang untuk menambal kerugian belum tahu dari mana. Kepercayaan "decentralized" di DeFi—kepercayaan dibagi jadi banyak bagian, setiap bagian ada yang bilang "bukan urusanku".