Трехсторонняя игра с дырой в 290 миллионов долларов: Кто должен платить по счетам — Aave, L0 или Kelp?
Криптовалютный проект Kelp DAO столкнулся с масштабной кражей на сумму 290 миллионов долларов из-за уязвимости в мостовом контракте rsETH, использующем инфраструктуру LayerZero. Атака стала возможной из-за взлома RPC-провайдера и конфигурации с единственным валидатором (1/1 DVN), что позволило злоумышленникам подделать межсетевые сообщения и незаконно вывести средства.
Основная ответственность лежит на Kelp DAO за выбор ненадежной конфигурации. LayerZero, как разработчик протокола, также несет часть вины за допущение такой уязвимости. Aave, принявший rsETH в качестве залога, косвенно способствовал масштабу ущерба, предоставив активу высокие кредитные лимиты без должного контроля.
Проблема усугубляется тем, что Kelp DAO не имеет достаточно средств для возмещения ущерба. LayerZero и Aave, обладающие ресурсами, пока избегают ответственности, что затягивает решение вопроса. Aave предлагает признать только оригинальные rsETH в Ethereum, игнорируя их версии в Layer2, что может подорвать доверие к экосистеме LayerZero.
Возможные решения включают распределение убытков между всеми держателями rsETH, полный отказ от токенов в Layer2 или переговоры с хакером о возврате средств за вознаграждение. Задержка в принятии решения угрожает репутации LayerZero и стабильности Aave, потенциально нанося долгосрочный ущерб всей индустрии DeFi.
Odaily星球日报04/20 08:53