Kelp DAO dan jambatan LayerZero mengalami lubang keamanan peristiwa yang berlaku pada hujung minggu telah meninggalkan... Bergantung kepada bagaimana situasi ini diselesaikan, protokol pinjaman Aave mungkin menghadapi kerugian berpotensi sehingga 230 juta dolar AS.
Menurutlaporan dari Aave Labs dan penyedia perkhidmatan LlamaRisk, artikel ini yang diterbitkan di forum tata kelola Aave, menekankan rsETH, sejenis token re-staking yang dikeluarkan oleh KelpDAO. Untuk memindahkan rsETH antara blokchain yang berbeza, protokol ini bergantung kepada mekanisme jambatan yang mengunci token di satu rantai, sambil mengeluarkan salinan yang sepadan di rantai lain.
Penyerang memanfaatkan lubang kelemahan ini untuk memalsukan mesej pemindahan yang kelihatan sah. Walaupun token tidak pernah dikeluarkan daripada rantai penghantar, sistem masih mengesahkan pemindahan itu, bermakna token baru yang tidak disokong secara sebenar telah dicipta, menyebabkan jambatan Ethereum melepaskan 116,500 rsETH.
Laporan mendapati bahawa penyerang tidak menjual aset-aset ini di pasaran terbuka, tetapi menyimpan 89,567 rsETH sebagai jaminan di Aave dan meminjam ETH dan aset berkaitan bernilai kira-kira $190 juta di platform seperti Ethereum dan Arbitrum. Ini menjadikan jaminan Aave mungkin menghadapi risiko serius.
Aave Labs menyatakan telah mengambil tindakan pantas untuk mengawal risiko. Dalam beberapa jam, protokol tersebut membekukan pasaran rsETH di semua platform yang dilaksanakan, menetapkan nisbah nilai pinjaman kepada sifar, dan menghentikan pinjaman baru yang dijamin dengan aset tersebut.
Keputusan semasa sebahagian besar bergantung kepada bagaimana Kelp menangani jurang pendanaan. Jika kerugian dibahagikan di antara semua pemegang rsETH, token dijangka menghadapi pelepasan 15% (bermaksud nilai token staking tidak akan sepadan dengan nilai ETH sebenar), yang akan menyebabkan Aave mengalami hutang tak tertagih sebanyak kira-kira US$124 juta. Jika kerugian terhad kepada lapisan dua, kesannya akan lebih teruk, dengan hutang tak tertagih meningkat kepada kira-kira US$230 juta dan terkonsentrasi di rangkaian seperti Arbitrum dan Mantle.
Kelemahan dalam penggunaan LayerZero oleh Kelp untuk mengesahkan pesan lintas rantai menjadi asal usul eksploitasi ini. Penyerang memanipulasi proses ini untuk membuat sebahagian aset kelihatan seperti telah sepenuhnya disimpan, walaupun sebenarnya tidak, sehingga mencuri nilai dari sistem. LayerZero itu sendiri tidak diserang secara langsung, tetapi... lapisan penghantaran maklumatnya mengekspos anggapan yang salah bagaimana Kelp mengesahkan data lintas rantai.
Peristiwa ini menimbulkan kebimbangan bahawa beberapa kedudukan di Aave disokong oleh jaminan yang salah harga atau tidak lagi sepenuhnya dijamin, yang meningkatkan risiko pinjaman kurang jaminan.
Sebagai tindak balas, pengguna mengambil langkah-langkah untuk mengurangi paparan. Selepas peristiwa tersebut, jumlah nilai yang dikunci di platform Aave sebanyak $6 bilion telah dibebaskan. Ini mencerminkan penyesuaian besar-besaran di pasaran akibat tindakan peserta terhadap ketidakpastian.
Peristiwa ini menonjolkan ketergantungan tidak langsungnya terhadap sistem luar. Kesannya terlihat dalam peningkatan risiko jaminan, tekanan terhadap posisi pinjaman, dan penurunan mendalam pada simpanan, kerana pengguna menilai semula keselamatan infrastruktur DeFi yang saling terhubung.
Laporan menyatakan bahawa tabung DAO-nya memegang aset bernilai sekitar US$181 juta, dan kini sedang berbincang dengan peserta ekosistem mengenai tindakan balas terhadap kerugian berpotensi. Kelp belum mengumumkan pelan pembahagian kerugian, oleh itu, seiring perkembangan situasi yang berterusan, eksposur akhir Aave masih tidak pasti.