
Kelp DAO 21 квітня опублікував заяву, спростовуючи критику LayerZero щодо його конфігурації 1/1 DVN, і покладає основну відповідальність за цю вразливість на інфраструктуру LayerZero. Aave опублікував звіт з оцінкою впливу події: за сценарію рівномірного розподілу збитків — приблизно 124 млн доларів США, а за сценарію, де збитки зосереджені на L2, максимальні — до 230 млн доларів США.
Раніше LayerZero у своєму звіті про подію критикував те, що Kelp DAO використовує конфігурацію 1/1 DVN, яка створює точку відмови, і зазначав, що раніше вже передавав Kelp DAO рекомендації щодо найкращих практик для розподіленої верифікації. Kelp DAO безпосередньо відповів: «Конфігурація 1 до 1 для DVN є конфігурацією за замовчуванням, зафіксованою в документації LayerZero, і вона застосовується до всіх нових розгортань OFT. Починаючи з січня 2024 року, Kelp працює на інфраструктурі LayerZero, і в ході розширення на L2 ця конфігурація була явно підтверджена як доречна».
Також Kelp DAO зазначив, що його заходи ефективно запобігли подальшим збиткам — призупинено всі відповідні контракти, атакувальні пов’язані гаманці внесено до чорного списку, а також встановлено зв’язок із SEAL-911. Ці заходи успішно зупинили спробу атакувальника додатково викрасти 40,000 rsETH (приблизно 95 млн доларів США) шляхом підробки пакетів даних.

(Джерело: Aave)
Атакувальник надав 89,567 rsETH (приблизно 222 млн доларів США) як заставу для Aave V3, позичивши 82,650 WETH і 821 wstETH, через що коефіцієнт здоров’я відповідних позицій був дуже низьким. Aave оцінив два сценарії припущень:
Сценарій 1 (рівномірний розподіл): приблизно 112,204 rsETH із збитків розподіляються рівномірно на всі мережі, rsETH втрачає прив’язку на 15.12%, а загальна безнадійна заборгованість Aave становить приблизно 123.7 млн доларів США. Ядерний ринок Ethereum має найбільші абсолютні втрати (91.8 млн доларів США), але резервів WETH достатньо, тож дефіцит лише 1.54%; частка дефіциту на ринку Mantle є найвищою — 9.54%.
Сценарій 2 (зосередження збитків на L2): збитки зосереджені на L2 rsETH; застава на L2 скорочується на 73.54%; безнадійна заборгованість на ринку L2 (Mantle, Arbitrum, Base) сягає 230.1 млн доларів США, тоді як rsETH на головній мережі Ethereum повністю підтримується.
Aave зазначає: «Який саме сценарій станеться, залежить від того, як Kelp обліковує rsETH, і від того, як оновлюється курс LRTOracle — це рішення, яке Aave не може контролювати».
У сценарії один сума в 54 млн доларів США у фонді WETH Umbrella, що перебуває у Aave, може бути використана як початкове забезпечення; у сценарії два цей фонд не буде задіяний. Наразі Aave DAO володіє активами на 181 млн доларів США та вже отримав низку зобов’язань від учасників екосистеми надати підтримку в разі безнадійної заборгованості. Kelp DAO заявляє, що він співпрацює з Aave, LayerZero та всіма ключовими зацікавленими сторонами, щоб синхронно оцінити подальші кроки щодо відновлення роботи протоколу та потенційні заходи з пом’якшення.
Спір зосереджено на конфігурації 1/1 DVN. LayerZero вважає, що те, що Kelp DAO використовує конфігурацію лише з одним DVN, утворює точку одиничної відмови, і що раніше були надані рекомендації щодо безпеки. Kelp DAO заперечує, що 1/1 DVN — це конфігурація за замовчуванням, налаштована LayerZero для всіх нових розгортань, і під час розширення на L2 була підтверджена LayerZero як доречна; справжня вразливість у безпеці полягає в тому, що самі RPC-вузли LayerZero були захоплені.
Сценарій 1 припускає, що втрати приблизно в 112,204 rsETH рівномірно розподіляються між усіма ланцюгами, rsETH втрачає прив’язку на 15.12%, що відповідає безнадійній заборгованості Aave приблизно 1.237 億 доларів США. Сценарій 2 припускає, що втрати зосереджені на L2: заставу rsETH на L2 скорочують на 73.54%, а безнадійна заборгованість на ринку L2 становить 2.301 億 доларів США. Ключова відмінність між двома сценаріями полягає в тому, як Kelp зрештою розподілить відповідальність за втрати.
Aave має фонд WETH Umbrella на 54 млн доларів США (доступний у сценарії один), активи Aave DAO на 181 млн доларів США та кілька зобов’язань підтримки від учасників екосистеми. Якщо безнадійна заборгованість перевищить зазначені буфери, згідно з дизайном безпекового модуля Aave, заставні токени власників stkAAVE можуть забезпечити захист для залишкового дефіциту через механізм Slashing.
Пов'язані статті
Arkham запускає децентралізовану торгівлю для токенів екосистеми Solana
Tempo запускає консультаційну послугу зі стейблкоїнів, співпрацює з DoorDash для вивчення виплат у стейблкоїнах
DDC Enterprise запускає біткоїн-казначейську AI-операційну систему з Treasury Graph Framework
Portal запускає 2.0 з AI-орієнтованим підходом, керованим колишнім директором Ubisoft Бенджаміном Шарбітом
Startale розширюється до Абу-Дабі, щоб масштабувати регульовану інфраструктуру блокчейну
KelpDAO $290M Експлойт приписують групі Lazarus з Північної Кореї