KelpDAOによる3億ドル規模の攻撃は、 Ethereum メインネットへの直接的な侵害というよりも、レイヤー2の障害である可能性が高いと見られており、コミュニティ内では、チェーン間の相互作用による DeFi 伝染に対する懸念が高まっている。.
匿名を条件に Cryptopolitan に連絡を取った情報筋によると、「Core L1 ETHには影響がないと確信している」とし、問題は「L2にある」と述べた。
この攻撃は Cashの1 ETHプールを通じて資金提供を受けたウォレットが約10時間待機した後、LayerZeroのEndpointV2コントラクト上でlzReceiveを呼び出したことから始まったtracこれによりKelpDAOのブリッジロジックが作動し、116,500 rsETHが攻撃者のウォレットに送金された。
これらのトークンは約2億9200万ドル相当で、rsETHの流通供給量約63万のうち約18%を占めていました。その後、さらに2つのパケットがそれぞれ4万rsETH、合計で約1億ドル相当を標的としましたが、KelpDAOの緊急マルチシグがpauseAllを実行した後に両方とも元に戻りました。.
関係者によると、もし追加の試みが両方とも成功していたら、損失総額は約3億9100万ドルに達していたという。.
攻撃者がrsETHを Aave に投入し、ZROを揺るがす
盗まれたrsETHは担保として Aave V3に預け入れられ、その後、多額のETHとWETHを借り入れるために使用され、資金はTornado Cashを経由して戻された。これにより Aaveの不良債権リスクが高まり、その損失額は最大1億7700万ドルに達すると推定されている。.
その後、 Aave V3とV4の両方でrsETH市場をすべて凍結し、欠陥はrsETH自体にあり、自社のtracにはないと述べた。SparkLendはrsETH市場を閉鎖した。Fluidは取引を停止した。UpshiftはHigh Growth ETHとKelp Gainのボルトを一時停止した。また、Pendle、Compound、Euler、Beefy、Yearnに関連する商品にも影響が及んだ。.
Cryptopolitan が入手した非公開のブリーフィング資料は、当初の市場パニックが示唆していたよりも、より限定的な方向性を示している。.
情報筋によると、L1 rsETHは引き続き完全に裏付けられており、関連する Aave 市場は「完全に健全」であるとのことです。ある情報筋は、weETHは影響を受けておらず、流動性保管庫の管理は通常通り行われており、 Aave 急騰による超過借入コストはカバーされるため、LiquidETHとLiquidUSDの利用者は損失を被ることはないだろうと述べています。.
「万全を期すため、rsETHは Aave V3およびV4全体で凍結されたままであり、今回のdent による影響は限定されています。WETH準備金も、 Ethereum、アービトラム、ベース、マントル、リネアなど、影響を受けたすべての市場で凍結されたままです。Aave Aave 現在、情報の検証と潜在的な解決策の評価に積極的に取り組んでいます。」
– Aave
初期調査によると、この問題はKelp rsETH Unichainから Ethereum へのルートにおける1対1のDVN設定によって引き起こされたもので、これにより、正規のソース側バーンなしに、裏付けのないトークンが Ethereum 上でリリースされることが可能になっていた。.
別の情報筋によると、別のプラットフォームのLayerZero OFTブリッジは、最低2/2のDVN構成を使用し、トラフィック量の多いルートでは3に拡張し、インバウンドとアウトバウンドのレート制限も含まれているとのことです。そのプラットフォームは念のためすべてのLZ OFTブリッジを一時停止しましたが、預金、引き出し、および株式発行を処理するモジュールであるTellertracも凍結しました。.
プロトコルにより引き出しが停止され、流動性が確保されるまで待機する
情報筋によると、「 Aave の借入金利が急騰し、 Ethereum 出口キューが満杯になったため、デレバレッジがより困難かつ高額になっている」とのこと。また別の情報筋は、Kelpは損失の補償方法や社会化方法をまだ決定しておらず、最善のシナリオは、エクスプロイトが発生したL2サーバーのみに損失が発生することだと述べた。.
預入は、オラクルレポートの遅延によって不公平な株式発行が発生する可能性があるため凍結された。出金については「技術的には停止されていない」と説明されたが、Kelpと Aaveからのより明確な説明がない限り処理できなかった。.
Mellowは現在、撤退の機会を探しているが、stETHからETHへの交換プレミアムが高すぎたことと、 Ethereum 撤退キューが詰まっていたため、撤退できていない。損失発生後、rsETHの価格設定方法が分からなかったため、チームはオラクルの更新を保留した。.
ある情報筋は「rsETHの価格設定方法が全く分からない」と述べた。別の情報筋は、Kelpや Aaveの進捗状況について尋ねられた際、「今のところニュースはない」と答えた。最悪の場合、損失は約9,000ETHと推定された。.
別の試算では、損失がL1に達し、より広範なセーフティネットが使用されなかった場合、上位預金者への損失は最大6.2%に達する可能性があるとされた。別のメッセージでは、大規模な引き出し処理を支援するため、プロトコルに基づく流動性が火曜日か水曜日までに到着する可能性があると述べられていた。.
EtherFiはXのユーザーに対し、次のように伝えて
「EtherFi Liquidボルトは、最近発生したKelp rsETHdentの影響を受けません。Liquidボルトのユーザーは、いかなる損失も被ることはありません。」
一方、こうした事態が起こっている最中に、Vercelが侵害され、攻撃者が顧客のデータ、ソースコード、データベース、および鍵を販売リストに掲載したという情報も入手しました。.
Vercel社は既にTelegram上で、「社内システムへの不正アクセスに関わるセキュリティdent をdentした」と公表している。
