coindesk.com
Der Kelp DAO- und LayerZero-Bridge-Exploit das sich am Wochenende ereignete, hat hinterlassen Das Kreditprotokoll Aave steht vor möglichen Verlusten von bis zu 230 Millionen US-Dollar, abhängig davon, wie die Situation gelöst wird.
Der Vorfall, gemäß laut einem Bericht von Aave Labs und dem Dienstleister LlamaRisk veröffentlicht im Aave-Governance-Forum, dreht sich um rsETH, ein liquidiertes Restaking-Token, das von KelpDAO ausgegeben wird. Um rsETH zwischen Blockchains zu bewegen, verlässt sich das Protokoll auf einen Brückenmechanismus, der Token auf einer Kette sperrt, während er entsprechende Kopien auf einer anderen ausgibt.
Ein Angreifer nutzte diese Konfiguration aus, indem er eine Überweisungsnachricht fälschte, die gültig erschien. Das System genehmigte die Überweisung, obwohl die Token nie aus der sendenden Blockchain entnommen wurden, was effektiv zur Schaffung neuer, nicht gedeckter Token führte und 116.500 rsETH vom Ethereum-Seiten-Bridge freisetzte.
Anstatt die Vermögenswerte auf dem offenen Markt zu verkaufen, hinterlegte der Angreifer 89.567 rsETH als Sicherheiten bei Aave und lieh sich laut dem Bericht rund 190 Millionen US-Dollar in $ETH und verwandten Vermögenswerten über Ethereum und Arbitrum. Dies brachte Aave in eine Situation, in der Sicherheiten mit möglicherweise erheblich beeinträchtigter Absicherung verwendet wurden.
Aave Labs gab bekannt, dass es schnell reagierte, um das Risiko einzudämmen. Innerhalb weniger Stunden fror das Protokoll die rsETH-Märkte in allen seinen Implementierungen ein, setzte die Beleihungswerte auf null und stoppte neue Kredite gegen diesen Vermögenswert.
Das Ergebnis hängt nun weitgehend davon ab, wie Kelp mit dem Fehlbetrag umgeht. Wenn die Verluste auf alle rsETH-Inhaber verteilt werden, würde der Token voraussichtlich eine Entkopplung von etwa 15 % erfahren (was bedeutet, dass der Wert der gestakten Token nicht dem Wert des tatsächlichen $ETH entspricht), was für Aave zu einer uneinbringlichen Forderung in Höhe von etwa 124 Millionen US-Dollar führen würde. Wenn die Verluste hingegen auf Layer-2-Netzwerke beschränkt werden, wäre die Auswirkung deutlich schwerwiegender, wobei die uneinbringlichen Forderungen auf etwa 230 Millionen US-Dollar ansteigen und auf Netzwerke wie Arbitrum und Mantle konzentriert wären.
Der Exploit entstand aus Schwachstellen in der Art und Weise, wie Kelp grenzüberschreitende Nachrichten mithilfe von LayerZero verifizierte. Durch die Manipulation dieses Prozesses konnte der Angreifer bestimmte Vermögenswerte als vollständig gedeckt erscheinen lassen, obwohl sie es nicht waren, was ihm ermöglichte, Werte aus dem System zu extrahieren. LayerZero selbst wurde nicht direkt gehackt, aber seine Messaging-Schicht legte fehlerhafte Annahmen offen in der Art und Weise, wie Kelp Cross-Chain-Daten validierte.
Der Vorfall weckte Bedenken, dass einige Positionen auf Aave durch Sicherheiten gedeckt waren, die falsch bewertet oder nicht mehr vollständig gedeckt waren, was das Risiko von unterbesicherten Krediten erhöhte.
Als Reaktion darauf reduzierten die Nutzer ihre Exponierung. Nach dem Vorfall wurden rund 6 Milliarden US-Dollar an Total Value Locked von Aave abgezogen, was einen breiten Rückzug widerspiegelt, da die Teilnehmer auf die Unsicherheit reagierten.
Die Episode verdeutlichte ihre indirekte Exponierung gegenüber externen Systemen. Die Auswirkungen zeigten sich in einem erhöhten Besicherungsrisiko, Druck auf Kreditpositionen und einem deutlichen Rückgang der Einlagen, da die Nutzer die Sicherheit der miteinander verknüpften DeFi-Infrastruktur neu bewerteten.
Der Bericht besagt, dass die DAO-Treasury über Vermögenswerte in Höhe von etwa 181 Millionen US-Dollar verfügt und dass Gespräche mit Teilnehmern des Ökosystems im Gange sind, um potenzielle Verluste zu bewältigen. Kelp hat noch nicht dargelegt, wie es plant, die Verluste zuzuweisen, sodass die endgültige Exponierung von Aave ungewiss bleibt, während sich die Situation weiterentwickelt.
Weiterlesen: Kelp DAO behauptet, die „Standard“-Einstellungen von LayerZero seien tatsächlich die Ursache für die massive Katastrophe in Höhe von 290 Millionen US-Dollar