استغلال يقارب 300 مليون دولار مستهدفًا جسر rsETH متعدد السلاسل الخاص بـ Kelp DAO أثار حدث سحب جماعي في Aave، حيث غادر أكثر من 5.4 مليار دولار من ETH البروتوكول بينما تسرّع المستخدمون لسحب أموالهم بعد مخاوف من تراكم الديون السيئة على المنصة.
أودع المهاجم rsETH في Aave لسحب ETH، تاركًا البروتوكول يحمل مخاطر لا يمكنه تفكيكها بسهولة. كانت النتيجة فورية. ارتفع معدل استخدام ETH في Aave إلى 100٪، مما يعني أن كل ETH المتاح في حوض الإقراض تم استعارته، ولا يبقى لدي البروتوكول أي مخزون سيولة.
هروب الحيتان
كان حجم السحب ناتجًا عن حاملي العملات الكبار الذين تصرفوا بسرعة. فقد أزال جاستين سون وحده 65,584 ETH بقيمة حوالي 154 مليون دولار من Aave في خطوة واحدة، وهي معاملة كانت ستكون خبرًا رئيسيًا في أي يوم آخر.
وفقًا للتتبع على السلسلة من قبل Lookonchain، فإن الانسحاب الأكبر بقيمة 5.4 مليار دولار يعكس ذعرًا أوسع بين المستخدمين الماهرين الذين فهموا ما يعنيه الدين السيء في Aave للمودعين غير القادرين على السحب حسب الرغبة.
ما الذي حدث فعليًا
أوقفت Kelp DAO عقود rsETH على الشبكة الرئيسية وعدد من شبكات الطبقة الثانية بعد تحديد نشاط مشبوه عبر السلاسل. وقال الفريق إنه يعمل مع LayerZero وUnichain والمدققين والخبراء الأمنيين لتحديد السبب الجذري.
أشار التحليل على السلسلة من D2 Finance إلى تسريب المفتاح الخاص على السلسلة المصدرية كسبب جذري، مما أنشأ مشكلة ثقة مع عقد OApp سمح للمهاجم بالتأثير على الجسر.
أُضيفت تفصيلة إضافية من قبل المحققين بعد التحقيق الجنائي. هناك مسارا فشل محتملين. إذا كان هناك معاملة مصدر شرعية موجودة للـ nonce ذي الصلة، فإن الاختراق نشأ من مفتاح OApp من جانب المصدر. وإذا لم تظهر أي معاملة مصدر، فإن الفشل يكون من جانب DVN، ويتفاقم بسبب تكوين Kelp لنقطة فشل واحدة باستخدام LayerZero Labs كالمُحقق الوحيد.
ما الذي يلي
تظل عقود Kelp DAO معلقة بينما تستمر التحقيق. إن استخدام Aave لـ ETH بنسبة 100% يخلق حالة لا يمكن فيها للمودعين سحب أموالهم حتى يتم سداد ETH المقترضة أو دخول سيولة جديدة إلى المجمع.
سؤال الديون السيئة هو القلق الأكثر إلحاحًا. إذا لم يمكن استرداد مراكز rsETH المستغلة، فسيحتاج Aave إلى تحديد كيفية توزيع الخسائر عبر البروتوكول، وهي عملية كانت تاريخيًا مثيرة للجدل وبطيئة.
لا تزال التحقيقات الجنائية الكاملة وخرائط مجموعة المهاجمين قيد التجميع. ومن المتوقع صدور التحديثات الرسمية عبر القنوات الموثقة لـ Kelp DAO مع تقدم التحقيق.



