Kelp за два тижні проведе повномасштабне оновлення кросчейн-моста, ether.fi синхронно посилює захист WeETH

Минуло вже два тижні після зламу кросчейн-моста Kelp DAO для rsETH, що стався 18 квітня: тоді зловмисники вивели 116 500 rsETH (приблизно 292 млн доларів). 29 квітня Kelp оголосив про завершення повного оновлення кросчейн-моста, а того ж дня ether.fi синхронно опублікувала трирівневу програму посилення безпеки для weETH і приєдналася до колективного порятунку в межах DeFi United, пожертвувавши 5 000 ETH. Багатоцільова мобілізація коштів для порятунку накопичила вже понад 70 000 ETH за участі LayerZero, Consensys, Mantle та інших, а DeFi United перейшов із моменту вибуху інциденту в етап структурного постобслуговування.

Оновлення кросчейн-моста Kelp 4/29: валідатори змінено на 4-of-4, Ethereum — єдиний вузол

Спочатку 18 квітня атакувальник використав кросчейн-мост Kelp, залишивши лише конфігурацію 1-of-1 DVN (Decentralized Verifier Network) — єдину точку. Це дозволило підробити кросчейн-повідомлення та вивести rsETH. Жорсткі дії, які Kelp завершив 4/29, переосмислили механізм валідації та топологію:

По-перше, кількість верифікаційних вузлів збільшено з 1 до 4 незалежних attestors — Canary, Horizen, LayerZero Labs, Nethermind. Для кожного маршруту вхід/вихід потрібно, щоб пройшли валідацію всі 4; щоб підробити кросчейн-повідомлення, атакувальник має одночасно захопити безпеку розгорнутих окремо в чотирьох незалежних інфраструктурах і юрисдикціях базових організацій. По-друге, кількість підтверджень блоків для всіх ланцюгів підвищено з 42 до 64, що збільшує вартість атак на перетворення (reorg attack). По-третє, топологія змінена з full mesh на hub-and-spoke: усуваються прямі маршрути L2-to-L2, усі кросчейн-повідомлення примусово мають проходити через перенаправлення з використанням Ethereum mainnet як транзитного шару, прибираючи горизонтальну взаємозалежність між L2 і звужуючи площу атаки.

У своєму оголошенні Kelp підкреслив, що «кожна налаштована величина, яка відхиляється від LayerZero preset, є строго сильнішою і ніколи не слабшою», і заявив, що надалі «досліджуватиме більш безпечних постачальників базової кросчейн-інфраструктури», залишивши натяк на майбутню заміну LayerZero.

ether.fi синхронно посилює weETH і приєднується до DeFi United, донатить 5 000 ETH

Оголошення ether.fi 4/29 о 18:13 UTC: хоча власний weETH через попереднє примусове виконання налаштування «2 DVN і більше» не зазнав прямого ураження, проєкт усе одно здійснив протокольні оновлення рівня безпеки для weETH на всіх 20 мережах розгортання. Конкретні трирівневі апдейти:

Перший рівень Message Library Pinning: адреси SendUln302 та ReceiveUln302 напряму «прибито» (pinned) до слотів налаштування OApp у weETH; багатопідписний гаманець LayerZero більше не зможе замінити library на обхід DVN-верифікації. Другий рівень DVN configuration pinning + поріг 4/4: фіксується набір із чотирьох DVN; для кожного кросчейн-повідомлення потрібне проходження 4/4, і будь-яка несправність або компрометація хоча б одного DVN миттєво перериває повідомлення. Третій рівень Pair-Wise Rate Limits: для кожного маршруту (джерельний ланцюг, цільовий ланцюг) встановлено консервативні ліміти на входи/виходи weETH; обмеження задаються напряму власним контрактом ether.fi і не залежать від впливу upstream-постачальника bridge.

Результат оновлення — те, що «багатопідпис у LayerZero повністю не може змінити на рівні ончейн налаштування bridge для weETH, а всі параметри безпеки перебувають під контролем лише багатопідпису ether.fi». ether.fi також синхронно оголосила про приєднання до DeFi United: її фонд пожертвує 5 000 ETH у спеціальний рятувальний сейф, а також оцінює можливе введення Chainlink CCIP або Wormhole як другого провайдера кросчейн-повідомлень. Паралельно компанія повідомила, що до кінця червня вимкне послуги бриджування weETH на таких мережах, як Scroll, Swell, Bera, zkSync, Mode, Blast, Morph, Sonic та інших.

DeFi United триває вже два тижні: мобілізація понад 70K ETH, ставки за позиками USDC реагують

Рятувальний альянс DeFi United, ініційований Aave та розгорнутий одразу на кількох DeFi-протоколах, за два тижні після старту 4/24 швидко розширився. Основні пожертви та внески включають: LayerZero Labs обіцяє понад 10 000 ETH (5 000 ETH у DeFi United та 5 000 ETH в Aave liquidity pool), Consensys — до 30 000 ETH, Mantle планує надати Aave кредит на суму 30 000 ETH, ether.fi Foundation — 5 000 ETH, Puffer Finance задіює частину коштів казначейства, River вливає 3 млн доларів у USDT. Збір коштів DeFi United 4/26 перевищив 100 000 пожертв у вигляді донатів на окремі адреси.

Влив рятувальних коштів напряму відобразився на відсоткових ставках на ринку запозичень Aave. За спостереженнями on-chain аналітика DefiScope 4/30: у момент публікації повідомлення про внесок Mantle у 30K ETH ставка позик у USDC на Aave одразу впала з приблизно 15% до 6,23%, а ринкова утилізація (utilization) з майже 100% повернулася до 91,5%. Це головно відповідає надходженню близько 100 млн доларів USDC repay (переважно розблокування через арбітражні важелі на USDe). Отже, «колективне порятунку» — це не лише PR-дія, а реальна сила, що переформатовує умови ліквідності на ринку запозичень.

Втім, постобробка інциденту досі не завершена. Ончейн-спостерігачі зазначають, що через 12 днів після атаки атакувальник усе ще утримує близько 107 000 rsETH на заставних позиціях у Aave та Compound, і ці позиції наразі не ліквідовано. Причина в тому, що unwind таких позицій вимагає змін через governance-пропозиції в Aave та Compound, тимчасових коригувань oracle, процесу ліквідації з контролем багатопідпису, а також через шлях викупу (redemption) за допомогою Kelp — це «ліквідація за участю комітетів», яка часто триває тижнями. Aave планує повернути ці 107K rsETH із 7 адрес атакувальників. Від технічного харденінгу й мобілізації колективного порятунку до стягнення прострочених коштів — узгоджувальна спроможність DeFi до «постобробки» проходить у цьому інциденті своє перше справжнє стрес-тестування.

Ця стаття про те, як через два тижні Kelp повністю оновив кросчейн-мост, а ether.fi синхронно посилила weETH, вперше з’явилася в 鏈新闻 ABMedia.