वीकेंड के दौरान हुए Kelp DAO और LayerZero ब्रिज के दुरुपयोग ने ऋण प्रोटोकॉल Aave को अधिकतः $230 मिलियन की संभावित हानि का सामना करना पड़ा, जो स्थिति के हल के तरीके पर निर्भर करता है।
घटना, जिसके बारे में Aave गवर्नेंस फोरम पर Aave Labs और सेवा प्रदाता LlamaRisk की एक रिपोर्ट प्रकाशित की गई है, rsETH पर केंद्रित है, जो KelpDAO द्वारा जारी किया गया एक लिक्विड रेस्टेकिंग टोकन है। rsETH को ब्लॉकचेन के बीच स्थानांतरित करने के लिए, प्रोटोकॉल एक ब्रिज तंत्र पर निर्भर करता है जो एक चेन पर टोकन को बंद कर देता है जबकि दूसरी चेन पर संगत प्रतियाँ जारी करता है।
एक हमलावर ने उस सेटअप का दुरुपयोग करते हुए एक ऐसा ट्रांसफ़र संदेश बना दिया जो मान्य दिख रहा था। प्रणाली ने ट्रांसफ़र को मंजूरी दे दी, हालांकि टोकन कभी भेजने वाली श्रृंखला से निकाले नहीं गए थे, जिसका अर्थ है कि नए टोकन प्रभावी रूप से बिना समर्थन के बना दिए गए, जिससे ईथेरियम-ओरिएंटेड ब्रिज से 116,500 rsETH जारी किए गए।
रिपोर्ट के अनुसार, आक्रमणकारी ने खुले बाजार पर संपत्तियाँ बेचने के बजाय 89,567 rsETH को Aave में जमानत के रूप में जमा किया और ईथेरियम और Arbitrum पर लगभग $190 मिलियन का ETH और संबंधित संपत्ति उधार ली। इससे Aave उस जमानत के लिए संवेदनशील हो गया जिसका समर्थन काफी प्रभावित हो सकता है।
एव लैब्स ने कहा कि उन्होंने जोखिम को नियंत्रित करने के लिए जल्दी कार्रवाई की। कुछ ही घंटों में, प्रोटोकॉल ने अपने सभी डिप्लॉयमेंट्स में rsETH बाजारों को फ्रीज कर दिया, ऋण-से-मूल्य अनुपात को शून्य पर सेट कर दिया, और इस संपत्ति के खिलाफ नए उधार लेने को रोक दिया।
अब परिणाम मुख्य रूप से केल्प द्वारा अल्पता को कैसे संभाला जाता है, इस पर निर्भर करता है। यदि हानियाँ सभी rsETH धारकों के बीच वितरित की जाती हैं, तो टोकन का अनुमानित 15% डीपेगिंग होगा (अर्थात् स्टेक किए गए टोकन का मूल्य वास्तविक ETH के मूल्य से मेल नहीं खाएगा), जिससे Aave के लिए लगभग $124 मिलियन का बैड डेबिट होगा। यदि हानियाँ बजाय इसके केवल Layer 2 नेटवर्क पर सीमित होती हैं, तो प्रभाव काफी अधिक गंभीर होगा, जिससे बैड डेबिट लगभग $230 मिलियन तक बढ़ जाएगा और Arbitrum और Mantle जैसे नेटवर्क पर केंद्रित होगा।
दुरुपयोग का कारण यह था कि Kelp ने LayerZero का उपयोग करके क्रॉस-चेन संदेशों की पुष्टि कैसे की। इस प्रक्रिया को विकृत करके, हमलावर ने ऐसे संपत्तियों को पूरी तरह से समर्थित दिखाया जबकि वे ऐसी नहीं थीं, जिससे उन्हें प्रणाली से मूल्य निकालने में सक्षम बनाई। LayerZero को सीधे हैक नहीं किया गया था, लेकिन इसकी संदेश परत ने Kelp द्वारा क्रॉस-चेन डेटा की पुष्टि करने के तरीके में दोषपूर्ण मान्यताओं को प्रकट किया।
घटना के कारण चिंता उठी कि एव कुछ पोज़ीशन्स को ऐसे सुरक्षा के द्वारा समर्थित किया गया था जो गलत मूल्यांकित थे या अब पूरी तरह से समर्थित नहीं थे, जिससे अपर्याप्त सुरक्षित ऋण का जोखिम बढ़ गया।
प्रतिक्रिया में, उपयोगकर्ताओं ने जोखिम कम करने के लिए चले गए। घटना के बाद Aave से कुल बंधी राशि के लगभग $6 बिलियन को वापस निकाल लिया गया, जिससे अनिश्चितता के प्रति प्रतिभागियों की प्रतिक्रिया के रूप में एक व्यापक पीछे हटने का पता चलता है।
इस एपिसोड ने बाहरी सिस्टम्स के प्रति इसकी अप्रत्यक्ष एक्सपोजर को उजागर किया। प्रभाव बढ़े हुए कॉलैटरल जोखिम, ऋण पोज़ीशन पर दबाव, और उपयोगकर्ताओं द्वारा जुड़े हुए DeFi बुनियादी ढांचे की सुरक्षा के प्रति पुनर्मूल्यांकन के कारण डिपॉज़िट में तीव्र गिरावट के माध्यम से महसूस किया गया।
रिपोर्ट में कहा गया कि इसका DAO खजाना लगभग 181 मिलियन डॉलर के संपत्ति रखता है और संभावित नुकसान को संबोधित करने के लिए परितंत्र के हिस्सेदारों के साथ चर्चाएँ चल रही हैं। केल्प ने अभी तक यह नहीं बताया है कि वह नुकसान का आवंटन कैसे करने की योजना बना रहा है, जिससे स्थिति के विकास के साथ Aave की अंतिम जोखिम अनिश्चित बनी हुई है।