Недавно в экосистеме DeFi возникла довольно серьезная уязвимость безопасности, я изучил соответствующие данные, и влияние этого события оказалось шире, чем я предполагал.

Мост Kelp DAO между цепочками был атакован хакерами в середине апреля, потеря составила от 292 до 294 миллионов долларов, что является крупнейшим за этот год инцидентом в области DeFi. Хакеры, подделав межцепочечное сообщение, однократно украли 116 500 rsETH, а позже попытались вывести еще 80 000, но были остановлены своевременной приостановкой контракта Kelp DAO.

Более тревожным является то, что эта атака вызвала эффект домино. Хакеры использовали украденный rsETH в качестве залога, чтобы заложить его в такие крупные кредитные протоколы, как Aave, SparkLend, Fluid, и взяли взаймы большое количество WETH и ETH. Как только rsETH был помечен как уязвимый актив, эти платформы сразу столкнулись с огромными непогашенными долгами. Aave среагировал быстро и сразу заблокировал рынки rsETH на V3 и V4, но потери на других платформах уже было невозможно избежать.

Истоки этого инцидента кроются в уязвимости межцепочечного моста, построенного на LayerZero. Хакеры сначала использовали Tornado Cash для подготовки средств, скрывались около 10 часов, прежде чем начать атаку, и использовали функцию lzReceive для эксплуатации уязвимости. Интересно, что атака произошла в праздничный период, и реакция платформ была в целом медленной, что также выявило слабые места в системе реагирования DeFi.

Я заметил, что этот инцидент хорошо иллюстрирует риск «конструкторских блоков» — уязвимость одного межцепочечного моста может мгновенно распространиться на всю экосистему. Сейчас хакеры уже обменяли около 250 миллионов долларов украденных токенов на ETH, и движение средств уже отслеживается в блокчейне.

Ответ Kelp DAO был достаточно своевременным: за 46 минут активировали экстренные меры, приостановили контракты rsETH на основной сети Ethereum и нескольких Layer2, а также совместно с LayerZero и компаниями по аудиту безопасности начали расследование. Однако межцепочечная ликвидность уже серьезно пострадала, и токены wrapped ETH на нескольких цепочках оказались в затруднительном положении.

Для тех, у кого есть средства, заложенные на платформах DeFi, сейчас самым разумным решением является как можно скорее вывести деньги в самоуправляемый кошелек. Учитывая, что в будущем могут быть приостановлены выводы на других платформах, лучше действовать заранее. Команды по безопасности продолжают отслеживать адреса хакеров, планы по компенсации пока не объявлены, поэтому всем стоит внимательно следить за официальными объявлениями.