Kelp DAO ve LayerZero köprüsü güvenlik açıkları hafta sonu yaşanan olaylar … Duruma göre çözüm sağlanırsa, kredi protokolü Aave 230 milyon dolarlık potansiyel kayıplarla karşı karşıya kalabilir.
根据 Aave Labs ve hizmet sağlayıcı LlamaRisk'in bir raporuna göre, bu makale Aave yönetim forumunda yayımlanmış olup, KelpDAO tarafından çıkarılan likidite yeniden质押 tokeni rsETH'e odaklanmaktadır. rsETH'nin farklı blok zincirleri arasında aktarılması için, protokol bir zincirde tokeni kilitlerken diğer bir zincirde karşılık gelen bir kopyayı çıkaran bir köprü mekanizmasına dayanmaktadır.
Saldırgan, görünürde geçerli bir transfer mesajı yaratmak için bu zafiyeti kullandı. Token'lar gönderim zincirinden asla kaldırılmamış olmasına rağmen, sistem bu transferi onayladı; bu da aslında desteklenmeyen yeni token'ların oluşturulmasına ve Ethereum köprüsünün 116.500 rsETH serbest bırakmasına neden oldu.
Raporlara göre, saldırgan bu varlıkları açık piyasada satmadı, bunun yerine 89.567 rsETH'yi Aave'e teminat olarak yatırdı ve Ethereum ile Arbitrum gibi platformlarda yaklaşık 190 milyon dolar değerinde ETH ve ilgili varlıklar kredi aldı. Bu durum, Aave'in teminatlarının ciddi bir riskle karşı karşıya kalmasına neden olabilir.
Aave Labs, riskleri kontrol altına almak için hızla eyleme geçti. Saatler içinde, protokol, tüm dağıtım platformlarındaki rsETH pazarını dondurdu, kredi değeri oranını sıfıra ayarladı ve bu varlıkla teminat verilen yeni kredi ve kiralama işlemlerini durdurdu.
Şu anki sonuç, Kelp'in fon açıklarını nasıl yöneteceğine büyük ölçüde bağlıdır. Kayıplar tüm rsETH sahipleri tarafından paylaşıldıysa, bu tokenin %15 lik bir bağlamadan geçmesi beklenmektedir (bu da staking token değerinin gerçek ETH değerinden sapmasına neden olur), bu da Aave'de yaklaşık 1,24 milyar dolarlık kötü borçlara yol açar. Kayıplar yalnızca ikinci katman ağına sınırlıysa, etki daha ciddi olacak ve kötü borçlar yaklaşık 2,3 milyar dolara çıkarak Arbitrum ve Mantle gibi ağlarda yoğunlaşacaktır.
Bu güvenlik açıkları, Kelp'in LayerZero'u kullanarak çapraz zincir mesajlarını doğrulama yöntemindeki bir eksiklikten kaynaklanmaktadır. Saldırganlar, bu süreci manipüle ederek bazı varlıkların aslında tam olarak yedeklenmediği halde tamamen yedeklenmiş gibi görünmesini sağlamış ve böylece sistemden değer çalmıştır. LayerZero doğrudan saldırıya uğramamıştır, ancak... bilgi iletim katmanı, Kelp'in çapraz zincir verilerini nasıl doğruladığına dair yanlış varsayımları ortaya koymuştur.
Bu olay, Aave üzerindeki bazı pozisyonların yanlış fiyatlandırılmış veya tamamen garanti altına alınmamış teminatlarla desteklendiği endişesini ortaya çıkardı ve garanti yetersizliği riskini artırdı.
Tepki olarak kullanıcılar teması azaltmak için önlemler aldı. Olayın ardından Aave platformunda dondurulan toplam değer yaklaşık 6 milyar dolar serbest bırakıldı. Bu, katılımcıların belirsizliğe verdiği tepkiler nedeniyle piyasada geniş çaplı bir gerileme olduğunu göstermektedir.
Bu olay, dış sistemlere olan dolaylı bağımlılığını vurgulamaktadır. Etkileri, teminat riskinde artış, kredi pozisyonlarında baskı ve kullanıcıların bağlantılı DeFi altyapısının güvenliğini yeniden değerlendirmesi nedeniyle mevduatta büyük bir düşüş şeklinde ortaya çıkmıştır.
Rapor, DAO kasanın yaklaşık 181 milyon dolarlık varlığa sahip olduğunu ve potansiyel kayıplara karşı生态系统 katılımcıları ile görüşmeler sürdüğünü belirtiyor. Kelp, kayıp dağıtım planını henüz açıklamadı; bu nedenle durumun gelişmesiyle Aave'in maruz kalabileceği risk hala belirsiz.