Beranda
Berita
Detail

Co-Founder DeFiLlama Mengusulkan 3 Solusi untuk Peretasan KelpDAO senilai $293J

iconCryptoPotato
Bagikan
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
Co-founder DeFiLlama 0xngmi mengusulkan tiga solusi untuk serangan KelpDAO senilai $293 juta, termasuk penyebaran kerugian, menargetkan pemegang rsETH, atau kembali ke snapshot sebelum serangan. Yishi dari OneKey menambahkan solusi keempat: bounty 10–15%. Data on-chain menunjukkan eksploitasi menggunakan satu attestasi DVN untuk menarik 116.500 rsETH. Pedagang disarankan memantau altcoin untuk mengamati reaksi pasar.

Peretasan KelpDAO senilai $293 juta pada 18 April meninggalkan Aave, pemegang rsETH, dan seluruh ekosistem DeFi menghadapi lubang yang belum ada yang tahu cara mengisinya.

Tetapi pada hari Minggu, co-founder DeFiLlama 0xngmi menguraikan tiga opsi realistis di atas meja dan menjalankan perhitungan untuk masing-masing.

Tiga Skenario, Tidak Ada yang Bersih

Pilihan pertama 0xngmi adalah menyebar rasa sakit. Menurut mereka, jika KelpDAO membagi kerugian di antara semua pengguna, akan menghasilkan potongan 18,5%. Terdapat sekitar 666.000 rsETH yang berada di berbagai penyebaran Aave, dan sebagian besar posisi mainnet diputar mendekati rasio pinjaman terhadap nilai maksimum (LTV), sehingga model 0xngmi mengasumsikan mereka pada dasarnya berada dalam kondisi likuidasi.

Menghapus seluruh ekuitas pada posisi-posisi tersebut meninggalkan sekitar $216 juta dalam utang buruk, dan cakupan ETH Umbrella Aave akan menyerap $55 juta dari jumlah tersebut, sementara kas protokol dapat menutupi tambahan $85 juta, yang akan meninggalkan kesenjangan sekitar $76 juta. Untuk menutupinya, 0xngmi menyarankan agar Aave dapat mengambil pinjaman atau melelang token kas AAVE-nya. Stok tersebut saat ini bernilai sekitar $51 juta.

Pilihan kedua jauh lebih buruk, karena itu berarti “rugging” pemegang rsETH di rantai layer 2. Ini akan meninggalkan Aave dengan pasokan rsETH senilai $359 juta, dan dengan asumsi seluruhnya diputar pada LTV maksimum, akan menciptakan utang buruk senilai $341 juta di berbagai pasar pinjaman. Namun karena Umbrella tidak mencakup satupun dari ini, 0xngmi mengatakan Aave harus memilih pasar mana yang akan diselamatkan dan mana yang ditinggalkan, dengan Arbitrum, Mantle, dan Base kemungkinan besar mengalami kerugian terbesar.

Pilihan ketiga, meskipun paling menarik secara teknis, bisa jadi yang paling sulit dilakukan. Ini melibatkan kembali ke snapshot sebelum peretasan dan berusaha hanya mengembalikan kerugian kepada korban langsung. Ini berarti mengembalikan $124 juta yang dikatakan telah diambil oleh peretas dari Aave dan $18 juta lagi dari Arbitrum. Namun masalahnya, sejak peretasan, dana tersebut telah berpindah banyak kali di berbagai protokol terpusat, sehingga sulit untuk memisahkan dana satu deposan dari deposan lainnya secara bersih.

Pendiri OneKey, Yishi, juga mendorong jalur keempat yang berada di luar kerangka 0xngmi: bernegosiasi terlebih dahulu dengan peretas, menawarkan mereka hadiah 10% hingga 15%, dan mencoba memulihkan sebagian besar uang sebelum keputusan-keputusan sulit lainnya perlu diambil. Jika gagal, Yishi berargumen bahwa dana ekosistem LayerZero seharusnya menanggung sebagian besar biaya, mengingat sumber dayanya dan minat jangka panjang dalam melestarikan ekosistem OFT.

Bagaimana $293M Keluar dalam Dua Transaksi

Pendiri Cyvers, Meir Dolev merekonstruksi timeline on-chain untuk serangan KelpDAO, dan semuanya berlangsung cepat. Dompet penyerang didanai melalui Tornado Cash sekitar 10 jam sebelum apa pun terjadi. Kemudian, pada pukul 17:35 UTC pada 18 April, dua transaksi terjadi: commitVerification pada LayerZero’s ReceiveUIn302, diikuti 24 detik kemudian oleh IzReceive pada EndpointV2. Transaksi kedua ini menarik 116.500 rsETH, bernilai sekitar $293,5 juta, dalam satu kali langkah.

KelpDAO’s multisig merespons pada pukul 18:23 UTC dengan memblokir alamat penerima penyerang pada rsETH, dan berhasil. Upaya kedua, tiga menit kemudian, yang akan mengambil 40.000 rsETH senilai sekitar $100 juta, terkena daftar hitam dan dibatalkan.

Menurut Dolev, akar masalahnya cukup sederhana: jembatan Unichain-ke-Ethereum KelpDAO memerlukan hanya satu attestasi DVN untuk melepaskan dana. Pemalsuan satu verifikasi itu memungkinkan peretas untuk memindahkan $293 juta.

LayerZero juga menerbitkan pernyataan sendiri menyalahkan serangan tersebut pada unit TraderTraitor dari Lazarus Group. Perusahaan tersebut mengatakan protokol berfungsi sesuai desain dan juga secara langsung menunjuk pada konfigurasi 1-dari-1 DVN KelpDAO sebagai penyebabnya, serta mencatat bahwa sebelumnya telah merekomendasikan pengaturan multi-DVN kepada semua mitra integrasi.

Peneliti keamanan Andy lebih blak-blakan, menyebut keputusan KelpDAO untuk menjalankan satu DVN sambil memegang dana pengguna senilai $1,5 miliar sebagai “sangat tidak bertanggung jawab” dan memperingatkan bahwa lusinan protokol lain saat ini menjalankan pengaturan yang persis sama.

Pos Co-Founder DeFiLlama Menyarankan 3 Jalur untuk Menyelesaikan Dampak Peretasan KelpDAO $293J pertama kali muncul di CryptoPotato.

Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini. Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.