Ang Kelp DAO at ang pagkakabiglang may panganib sa LayerZero bridge ang mga pangyayari sa weekend ay nanatili na... Batay sa paraan ng paglutas ng sitwasyon, ang loan protocol na Aave ay maaaring makaharap sa potensyal na pagkawala hanggang sa $230 milyon.
Ayon saayon sa isang ulat mula sa Aave Labs at ang service provider na LlamaRisk, na nailathala sa Aave Governance Forum, ay nakatuon sa rsETH, isang liquidity re-staking token na inilabas ng KelpDAO. Upang i-transfer ang rsETH sa pagitan ng iba’t ibang blockchain, ang protokolo ay nakasalalay sa isang bridge mechanism na naglalock ng mga token sa isang chain habang inilalabas ang katumbas na kopya sa ibang chain.
Gumamit ang mga attacker ng vulnerability upang magpalabas ng isang mensahe sa paglipat na tila epektibo. Bagaman hindi natanggal ang mga token mula sa sending chain, tinanggap pa rin ng sistema ang paglipat, na nangangahulugan na lumikha ng mga bagong token na walang aktwal na suporta, na nagresulta sa paglabas ng 116,500 rsETH sa Ethereum bridge.
Ayon sa mga ulat, hindi ibinenta ng mga attacker ang mga ari-arian sa open market, kundi isinara ang 89,567 na rsETH bilang collateral sa Aave at humingi ng loan ng halos $190 milyon sa ETH at kaugnay na ari-arian sa mga platform tulad ng Ethereum at Arbitrum. Ito ay nagdudulot ng malaking panganib sa collateral ng Aave.
Ipinahayag ng Aave Labs na agad nilang kinontrol ang panganib. Sa loob ng ilang oras, isinara ng protokolo ang lahat ng mga market na rsETH sa kanilang lahat ng mga platform, isinet ang loan-to-value ratio sa zero, at ipinigil ang bagong pagpapautang na may rsETH bilang jamin.
Ang kasalukuyang resulta ay malaking bahagi ay nakadepende kung paano ang Kelp ang pagharap sa kakulangan ng pondo. Kung ang pagkawala ay hahatiin ng lahat ng mga tagapag-ari ng rsETH, inaasahan na magkakaroon ng 15% na pagkawala ng peg (ibig sabihin, ang halaga ng staked token ay hindi magkakasundo sa tunay na halaga ng ETH), na magdudulot ng halos $124 milyon na masasamang utang sa Aave. Kung ang pagkawala ay limitado lamang sa layer-2 network, ang epekto ay mas malala, at tataas ang masasamang utang hanggang sa halos $230 milyon at nakokusenta sa mga network tulad ng Arbitrum at Mantle.
Ang pagpapabaya na ito ay nagmula sa isang kakulangan sa paraan kung paano ginagamit ng Kelp ang LayerZero upang patotohanan ang mga mensahe sa pagitan ng mga chain. Ang mga attacker ay nagmanipula sa prosesong ito upang gawing tila ganap na naka-backup ang ilang mga asset, kahit na hindi talaga sila ganap na naka-backup, at kaya ay nakuha ang halaga mula sa sistema. Hindi direkta na inatake ang LayerZero, ngunit... ang kanyang layer ng pagpapadala ng impormasyon ay nagpapakita ng maling aksiyon kung paano tinataya ng Kelp ang跨链 data.
Nagdulot ang pangyayaring ito ng pag-aalala na ang ilang posisyon sa Aave ay suportado ng mga collateral na may maling presyo o hindi na buong ginagamot, na nagpapataas ng panganib ng mga loan na kulang sa collateral.
Bilang tugon, maraming gumawa ng mga hakbang upang mabawasan ang kanilang pagkakaroon ng pagkakataon. Matapos ang insidente, ang kabuuang halaga na nakalock sa Aave ay umabot sa $6 bilyon at nalibre na. Ito ay nagpapakita na ang merkado ay nagkaroon ng malawakang pagbaba dahil sa reaksyon ng mga tagapag-ugnay sa kawalan ng katiyakan.
Ipinakita ng insidente na ito ang indirektong pagkakasalalay nito sa mga panlabas na sistema. Ang epekto nito ay nakikita sa pagtaas ng panganib sa collateral, presyur sa mga posisyon ng loan, at malaking pagbaba sa mga deposito, dahil ang mga user ay muli nang isinasaalang-alang ang kaligtasan ng interkonektadong DeFi infrastructure.
Ayon sa ulat, ang kanilang DAO treasury ay mayroong halos $181 milyon na mga asset at kasalukuyang nag-uusap sa mga tagapag-ugnay sa ekosistema tungkol sa pagharap sa posibleng mga pagkawala. Hindi pa naglabas ng plano para sa pagkakahati ng mga pagkawala ang Kelp, kaya ang eksposur ng Aave ay patuloy na hindi tiyak habang lumalago ang sitwasyon.