最新進展-Kelp DAO 針對2.92億美元漏洞攻擊與LayerZero互相甩鍋

4 月 18 日，由 零層提供支持的跨鏈橋 Kelp DAO 損失了 116,500 個 rsETH 代幣，價值約 2.92 億美元，成為今年迄今為止最大的 DeFi 漏洞。攻擊者獲取了LayerZero Labs去中心化驗證網絡（DVN）使用的RPC節點列表。攻擊者隨後篡改了兩個RPC節點，並發起DDoS攻擊，迫使DVN接受偽造的跨鏈消息，從而簽署了一筆非法交易。

早前LayerZero在發布的報告中批評了Kelp DAO的1對1 DVN配置指出，由於缺乏必要的獨立驗證來捕捉欺詐性的跨鏈消息，因此造成了單點故障。報告稱：“LayerZero和其他外部機構此前已向Kelp DAO傳達了關於分散式虛擬網絡（DVN）多元化的最佳實踐。儘管有這些建議，Kelp DAO仍然選擇採用1/1的DVN配置。”

另一方面，Kelp DAO周一發表聲明，淡化其對此事的直接責任。將 1 對 1 DVN 設置的責任推卸給了 LayerZero。

Kelp 在 X 上的聲明中寫道：“1 對 1 DVN 設置是 LayerZero 文件中記錄的配置，也是任何新的 OFT 部署的預設配置。自 2024 年 1 月以來，Kelp 一直在 LayerZero 基礎設施上運行，並始終與 LayerZero 團隊保持著開放的溝通渠道。”Kelp 還補充說，DVN 配置問題在擴展到 L2 時被提出，當時預設設置“被明確確定為合適”。

該跨鏈橋還表示，其初步應對措施——包括暫停相關合約和將與攻擊者關聯的錢包列入黑名單——有助於控制事態發展。

雙方互相甩鍋，無辜的AAVE表示很受傷，2億多的壞帳誰來管管我？

攻擊者將大量竊取的資產存入了 Aave V3 版本。攻擊者使用 rsETH 作為抵押品借入了大量 WETH，增加了該協議的壞帳風險。

Aave的最新事件報告稱，攻擊者提供了 89,567 個 rsETH（價值約 2.21 億美元）作為抵押品，並借入了 82,650 個 WETH 和 821 個 wstETH，導致這些頭寸的健康系數非常低。該協議根據現有數據概述了兩種假設的壞帳情景，因為 Kelp 尚未正式宣布損失分配或追償計劃。

第一種方案描述了損失的均勻分配，假設約 112,204 個 rsETH 將平均分配到所有鏈上。這將導致 15.12% 的去錨定，並給 Aave 帶來約 1.237 億美元的壞帳。

第二種假設是損失僅限於 L2 rsETH，以太坊主網 rsETH 仍完全受支持。在這種情況下，L2 抵押品將被削減 73.54%。這將導致 Mantle、Arbitrum 和 Base 的 WETH 市場等 L2 市場出現高達 2.301 億美元的壞帳。

Aave 表示：“哪種情況會發生取決於 Aave 無法控制的決策，主要是 rsETH 的會計處理方式和 LRTOracle 匯率的更新方式。”

此外，Aave 表示，Aave DAO 擁有 1.81 億美元的資產，資產狀況良好，並且已收到生態系統參與者的多項承諾，以在出現壞帳時支持該協議。