L'exploit de 300 millions de dollars de KelpDAO ressemble désormais davantage à une défaillance de la couche 2 qu'à une rupture directe du réseau principal Ethereum , alors que les craintes de contagion DeFi à partir d'interactions entre chaînes augmentent au sein de la communauté.
Des sources ayant requis l'anonymat ont contacté Cryptopolitan et ont déclaré avoir « la certitude que le protocole ETH Core L1 n'est pas affecté » et que le problème « se situe au niveau des L2 »
L' attaque a débuté après qu'un portefeuille alimenté par le pool de 1 ETH de Cash trac . Cela a déclenché la logique du pont de KelpDAO et a libéré 116 500 rsETH vers le portefeuille d'un attaquant.
Les jetons valaient environ 292 millions de dollars et représentaient environ 18 % de l'offre en circulation de rsETH, soit environ 630 000. Deux autres paquets visaient ensuite 40 000 rsETH chacun, soit environ 100 millions de dollars supplémentaires au total, mais les deux ont été annulés après que la signature multiple d'urgence de KelpDAO a exécuté pauseAll.
Si les deux tentatives supplémentaires avaient fonctionné, la perte totale aurait atteint environ 391 millions de dollars, selon les sources.
Les attaquants déversent du rsETH dans Aave et perturbent ZRO
Les rsETH volés ont été déposés en garantie chez Aave V3, puis utilisés pour emprunter d'importantes quantités d'ETH et de WETH, les fonds transitant par Tornado Cash. Cette opération a accru le risque de créances irrécouvrables chez Aave, l'exposition étant estimée à 177 millions de dollars.
Aave a ensuite gelé tous les marchés rsETH sur les plateformes V3 et V4, affirmant que la faille provenait de rsETH et non de ses proprestrac. SparkLend a fermé son marché rsETH. Fluid a suspendu toute activité. Upshift a mis en pause les coffres-forts High Growth ETH et Kelp Gain. Des produits liés à Pendle, Compound, Euler, Beefy et Yearn ont également été touchés.
Les informations confidentielles examinées par Cryptopolitan indiquent une direction plus précise que ne le laissait supposer la panique initiale du marché.
Nos sources indiquent que le rsETH de niveau 1 reste entièrement garanti et que le marché Aave concerné est « parfaitement solvable ». Un message précise que le weETH n'est pas affecté, que la gestion du Liquid Vault fonctionne normalement et que les utilisateurs de LiquidETH et LiquidUSD ne subiront pas de pertes car les coûts d'emprunt excédentaires liés à la hausse du prix de l' Aave seront couverts.
Par mesure de précaution, les rsETH restent gelés sur Aave V3 et V4 et l'exposition à cetdent est plafonnée. Les réserves de WETH restent également gelées sur les marchés concernés, notamment Ethereum, Arbitrum, Base, Mantle et Linea. Aave vérifie activement les informations et évalue les solutions possibles
– Aave
Les premières investigations ont révélé que le problème était dû à une configuration DVN 1-sur-1 sur la route Kelp rsETH Unichain vers Ethereum , ce qui permettait la libération de jetons non adossés à des actifs sur Ethereum sans destruction légitime côté source.
Une autre source nous a indiqué que les ponts OFT LayerZero d'une autre plateforme utilisent une configuration minimale de 2/2 DVN, passe à 3 sur les routes les plus fréquentées et incluent des limites de débit entrantes et sortantes. Cette plateforme a néanmoins suspendu tous les ponts OFT LZ par précaution, mais a également gelé sontracTeller, le module gérant les dépôts, les retraits et la création d'actions.
Les protocoles suspendent les retraits et attendent des liquidités
D'après certaines sources, « les taux d'emprunt sur Aave ont explosé et la file d'attente de sortie Ethereum est saturée, ce qui rend le désendettement plus difficile et plus coûteux ». Une autre source a indiqué que Kelp n'avait pas encore décidé comment les pertes seraient couvertes ou mutualisées et que, dans le meilleur des cas, les pertes ne concerneraient que les infrastructures de couche 2 où l'exploit a eu lieu.
Les dépôts ont été gelés car des retards dans la publication des rapports oracles pourraient entraîner une création d'actions inéquitable. Les retraits ont été qualifiés de « techniquement non suspendus », mais ils ne pouvaient être traités sans plus de précisions de la part de Kelp et Aave.
Mellow cherche actuellement une fenêtre de sortie, mais n'y parvient pas car les primes pour convertir stETH en ETH étaient trop élevées et la file d'attente de sortie Ethereum était saturée. Les équipes ont retardé les mises à jour de l'oracle car elles ne savaient pas comment fixer le prix de rsETH après les pertes.
Une source a déclaré : « Nous ne savons tout simplement pas comment fixer le prix du rsETH. » Une autre a répondu : « Aucune nouvelle pour l’instant », interrogée sur l’avancement des projets Kelp ou Aave. Dans le pire des cas, les pertes ont été estimées à environ 9 000 ETH.
Selon une autre estimation, les déposants de haut niveau pourraient subir une perte de 6,2 % si les pertes atteignaient le niveau L1 et si des mécanismes de protection plus larges n'étaient pas mis en œuvre. D'autres messages indiquaient que des liquidités supplémentaires pourraient être disponibles sur le protocole d'ici mardi ou mercredi afin de faciliter le traitement des retraits plus importants.
EtherFi a informé ses utilisateurs sur X que :
« Les coffres EtherFi Liquid ne sont pas affectés par le récentdentKelp rsETH. Les utilisateurs de coffres Liquid ne subiront aucune perte. »
Parallèlement, alors que tout cela se produit, nous avons également appris que Vercel a été victime d'une intrusion et que l'attaquant a mis en vente les données, le code source, les bases de données et les clés de ses clients.
Vercel a déjà annoncé publiquement sur Telegram avoir «dentundent de sécurité impliquant un accès non autorisé à ses systèmes internes »
