#KelpDAO跨链桥遭攻击

Kemajuan terbaru - Kelp DAO saling menyalahkan terkait serangan kerentanan sebesar 292 juta dolar dan LayerZero

Pada 18 April, jembatan lintas rantai yang didukung oleh Zero Layer, Kelp DAO, kehilangan 116.500 token rsETH, senilai sekitar 292 juta dolar, menjadi kerentanan DeFi terbesar tahun ini. Penyerang memperoleh daftar node RPC yang digunakan oleh jaringan verifikasi desentralisasi LayerZero Labs (DVN). Kemudian penyerang mengubah dua node RPC dan melancarkan serangan DDoS, memaksa DVN menerima pesan lintas rantai palsu, sehingga menandatangani transaksi ilegal.

Lebih awal, LayerZero dalam laporan yang dirilis mengkritik konfigurasi DVN 1-ke-1 milik Kelp DAO, menunjukkan bahwa karena kurangnya verifikasi independen yang diperlukan untuk menangkap pesan lintas rantai penipuan, menyebabkan titik kegagalan tunggal. Laporan menyatakan: “LayerZero dan lembaga eksternal lainnya sebelumnya telah menyampaikan praktik terbaik diversifikasi jaringan virtual terdistribusi (DVN) kepada Kelp DAO. Meski ada saran tersebut, Kelp DAO tetap memilih konfigurasi DVN 1/1.”

Di sisi lain, Kelp DAO mengeluarkan pernyataan pada hari Senin, meredam tanggung jawab langsung mereka terhadap kejadian ini. Menyalahkan konfigurasi DVN 1-ke-1 kepada LayerZero.

Dalam pernyataannya di X, Kelp menulis: “Pengaturan DVN 1-ke-1 adalah konfigurasi yang tercatat dalam dokumentasi LayerZero, dan juga merupakan konfigurasi default untuk setiap deployment OFT baru. Sejak Januari 2024, Kelp telah berjalan di infrastruktur LayerZero dan selalu menjaga komunikasi terbuka dengan tim LayerZero.” Kelp juga menambahkan bahwa masalah konfigurasi DVN diangkat saat diperluas ke L2, ketika pengaturan default “dinyatakan secara eksplisit sebagai sesuai.”

Jembatan lintas rantai ini juga menyatakan bahwa langkah awal mereka—termasuk menangguhkan kontrak terkait dan memasukkan dompet yang terkait dengan penyerang ke dalam daftar hitam—telah membantu mengendalikan situasi.

😞Keduanya saling menyalahkan, AAVE yang tidak bersalah merasa sangat terluka, siapa yang akan bertanggung jawab atas kerugian lebih dari 200 juta dolar ini?

Penyerang menyimpan sejumlah besar aset yang dicuri ke dalam versi Aave V3. Penyerang menggunakan rsETH sebagai jaminan untuk meminjam sejumlah besar WETH, meningkatkan risiko kerugian buruk pada protokol tersebut.

Laporan kejadian terbaru Aave mengklaim bahwa penyerang menyediakan 89.567 rsETH (senilai sekitar 221 juta dolar) sebagai jaminan, dan meminjam 82.650 WETH serta 821 wstETH, menyebabkan rasio kesehatan posisi tersebut sangat rendah. Protokol merangkum dua skenario kerugian buruk berdasarkan data yang ada, karena Kelp belum secara resmi mengumumkan rencana distribusi kerugian atau penagihan.

Skenario pertama menggambarkan distribusi kerugian secara merata, dengan sekitar 112.204 rsETH akan didistribusikan secara rata ke semua rantai. Ini akan menyebabkan 15,12% dari aset tidak terkunci, dan menimbulkan kerugian buruk sekitar 1,237 miliar dolar bagi Aave.

Skenario kedua membatasi kerugian hanya pada rsETH L2, sementara rsETH di mainnet Ethereum tetap didukung sepenuhnya. Dalam kasus ini, jaminan L2 akan dikurangi sebesar 73,54%. Ini akan menyebabkan kerugian buruk hingga 230,1 juta dolar di pasar WETH untuk L2 seperti Mantle, Arbitrum, dan Base.

Aave menyatakan: “Situasi yang akan terjadi tergantung pada keputusan yang diambil di luar kendali Aave, terutama terkait perlakuan akuntansi rsETH dan cara pembaruan rasio LRTOracle.”

Selain itu, Aave menyebutkan bahwa Aave DAO memiliki aset sebesar 181 juta dolar, dalam kondisi baik, dan telah menerima beberapa janji dari peserta ekosistem untuk mendukung protokol jika terjadi kerugian buruk.