La vulnerabilità da 300 milioni di dollari di KelpDAO ora sembra più un fallimento del Layer 2 che un'interruzione diretta della rete principale Ethereum , mentre nella comunità crescono i timori di contagio DeFi derivante dalle interazioni tra le blockchain.
Fonti che hanno chiesto di rimanere anonime hanno contattato Cryptopolitan affermando di essere "fiduciose che Core L1 ETH non sia interessato" e che il problema "risieda nei livelli L2"
L' attacco è iniziato dopo che un portafoglio finanziato tramite il pool da 1 ETH di Cash trac . Ciò ha attivato la logica di bridge di KelpDAO e ha rilasciato 116.500 rsETH al portafoglio di un aggressore.
I token avevano un valore di circa 292 milioni di dollari e rappresentavano circa il 18% della fornitura circolante di rsETH, pari a circa 630.000 unità. Successivamente, altri due pacchetti miravano a 40.000 rsETH ciascuno, per un valore complessivo di circa 100 milioni di dollari, ma entrambi sono stati annullati dopo che il sistema multisig di emergenza di KelpDAO ha eseguito il comando pauseAll.
Secondo le fonti, se entrambi i tentativi aggiuntivi avessero avuto successo, la perdita totale avrebbe raggiunto circa 391 milioni di dollari.
Gli aggressori riversano rsETH in Aave e scuotono ZRO
Gli rsETH rubati sono stati depositati in Aave V3 come garanzia, per poi essere utilizzati per ottenere prestiti ingenti in ETH e WETH, con fondi reindirizzati attraverso Tornado Cash. Ciò ha aumentato il rischio di insolvenza per Aave, con stime che indicano un'esposizione fino a 177 milioni di dollari.
Aave ha quindi congelato tutti i mercati rsETH sia sulla V3 che sulla V4, affermando che la falla risiedeva in rsETH e non nei suoitrac. SparkLend ha chiuso il suo mercato rsETH. Fluid ha bloccato le attività. Upshift ha sospeso i vault High Growth ETH e Kelp Gain. L'esposizione ha interessato anche prodotti legati a Pendle, Compound, Euler, Beefy e Yearn.
Le informazioni riservate esaminate da Cryptopolitan indicano una direzione più circoscritta rispetto a quanto inizialmente suggerito dal panico del mercato.
Le nostre fonti hanno affermato che L1 rsETH rimane completamente garantito e che il relativo mercato Aave è "completamente solvibile". Un messaggio ha inoltre affermato che weETH non è interessato, la gestione del vault dei liquidi funziona normalmente e gli utenti di LiquidETH e LiquidUSD non subiranno perdite perché i costi di prestito eccessivi derivanti dal picco Aave saranno coperti.
"Per estrema precauzione, rsETH rimane bloccato su Aave V3 e V4 e l'esposizionedent è limitata. Anche le riserve WETH rimangono bloccate sui mercati interessati, tra cui Ethereum, Arbitrum, Base, Mantle e Linea. Aave sta attivamente verificando le informazioni e valutando possibili soluzioni."
– Aave
Le prime indagini hanno indicato che il problema era stato reso possibile da una configurazione DVN 1-di-1 sulla rotta Kelp rsETH Unichain verso Ethereum , che consentiva il rilascio di token non garantiti su Ethereum senza una legittima distruzione dei token dalla fonte.
Un'altra fonte ci ha riferito che i bridge OFT LayerZero di un'altra piattaforma utilizzano una configurazione DVN minima di 2/2, scalano a 3 sulle rotte più trafficate e includono limiti di velocità in entrata e in uscita. Tale piattaforma ha comunque sospeso tutti i bridge OFT LZ per precauzione, ma ha anche congelato il suotracTeller, il modulo che gestisce depositi, prelievi e conio di azioni.
I protocolli bloccano i prelievi e attendono la liquidità
Secondo le fonti, "i tassi di interesse sui prestiti su Aave sono schizzati alle stelle e la coda di uscita Ethereum si è riempita, il che rende il deleveraging più difficile/costoso". Un'altra fonte ha affermato che Kelp non ha ancora deciso come verranno coperte o socializzate le perdite e che, nella migliore delle ipotesi, le perdite ricadranno solo sui nodi L2 dove si è verificato l'exploit.
I depositi sono stati congelati perché i ritardi nei report degli oracoli avrebbero potuto causare una coniazione iniqua delle azioni. I prelievi sono stati descritti come "tecnicamente non sospesi", ma non potevano essere elaborati senza maggiori chiarimenti da parte di Kelp e Aave.
Mellow sta ora cercando delle finestre di opportunità per uscire dal mercato, ma non ci è riuscita perché i premi per convertire stETH in ETH erano troppo alti e la coda di uscita Ethereum era intasata. I team hanno ritardato gli aggiornamenti dell'oracolo perché non sapevano come prezzare rsETH dopo le perdite.
Una fonte ha affermato: "Non sappiamo proprio come prezzare rsETH". Un'altra ha risposto: "Nessuna notizia finora", quando le è stato chiesto dei progressi di Kelp o Aave. Nel peggiore dei casi, le perdite sono state stimate intorno ai 9.000 ETH.
Un'altra stima prevedeva una possibile perdita del 6,2% per i depositanti di livello più alto qualora le perdite avessero raggiunto il livello L1 e non fossero stati utilizzati meccanismi di sostegno più ampi. Comunicazioni separate indicavano che la liquidità in entrata del protocollo potrebbe arrivare entro martedì o mercoledì per agevolare l'elaborazione di prelievi più consistenti.
EtherFi ha comunicato ai suoi utenti su X che:
"I vault Liquid di EtherFi non sono interessati dal recentedentKelp rsETH. Gli utenti dei vault Liquid non subiranno alcun prelievo."
Nel frattempo, mentre tutto ciò accadeva, abbiamo anche appreso che Vercel è stata violata e che l'attaccante ha messo in vendita i dati dei clienti, il codice sorgente, i database e le chiavi di accesso.
Vercel ha già annunciato pubblicamente su Telegram di aver "dentundent di sicurezza che ha comportato un accesso non autorizzato ai propri sistemi interni"
