🚨 Kelp DAO 292M doları çalındı, Aave #5PC etkilendi Bugün sabah (19/4), yaklaşık 0:35 Vienam saatiyle, Kelp DAO'nun rsETH köprü sözleşmesi (https://t.co/4ePd4lro3h üzerinde inşa edilmiş, LayerZero üzerine kurulmuş ikinci büyük sıvı restaking protokolü) bir hacker tarafından istismar edildi ve 116.500 rsETH ($292M) kaybedildi. Hacker, gaz ücreti olarak Tornado Cash'ten 1 ETH çekti ve köprüye erişim kontrolünü ele geçirdi (ilk analizlere göre özel anahtarın ihlal edildiği düşünülüyor). Sonrasında bu anahtarı kullanarak LayerZero üzerinden sahte ödeme emirleri göndererek 116.500 rsETH'yi kendi adresine aktardı. Saldırının kolayca başarılı olmasının nedeni, bu köprünün yalnızca 1 doğrulayıcı (DVN 1/1) ile çalışması ve çapraz doğrulama mekanizmasının bulunmamasıdır. Hacker daha sonra ek olarak 40.000 rsETH (~$100M) çekmeye çalıştı ancak Kelp, tüm sözleşmeleri durdurarak bunu engelledi. rsETH'in likiditesinin düşük olması nedeniyle doğrudan satılamadı. Hacker, rsETH'yi kredi protokollerine teminat olarak vererek wETH kredi çekti. Bugün sabah 2:30 Vienam saati itibarıyla hackerın oluşturduğu toplam borç $236M'ı aştı: - Aave V3: $196M - Compound V3: $39,4M - Euler: $840K Aave, hem V3 hem de V4 üzerinde rsETH pazarını dondurdu ve kendi sözleşmelerinin hacklenmediğini doğruladı; olası kredi kayıpları için tazminat sağlayacağını taahhüt etti. Aave'in doğrudan rekabetçisi Spark'a göre, rsETH fiyatı %19 düşerse (çalınan miktar rsETH toplam arzının %19'una denk gelmektedir), yüksek kaldıraçlı döngüsel krediler nedeniyle Aave'de $100M'den fazla kötü borç oluşabilir. Saldırı sonrası $KERNEL ve $AAVE hisseleri %10'dan fazla düştü.