اهتز استقرار DeFi مع تأرجح Aave على شفا خسارة هائلة بقيمة 230 مليون دولار بعد خرق أمان Kelp DAO
أدى استغلال جسر Kelp DAO وLayerZero الذي حدث خلال عطلة نهاية الأسبوع إلى ترك بروتوكول الإقراض Aave يواجه خسائر محتملة تصل إلى 230 مليون دولار، اعتمادًا على كيفية حل الموقف.
تركز الحادث، وفقًا لتقرير صادر عن Aave Labs ومزود الخدمة LlamaRisk المنشور في منتدى حوكمة Aave، على rsETH، وهو رمز مميز لإعادة تخزين السوائل صادر عن KelpDAO. لنقل rsETH بين البلوكشين، يعتمد البروتوكول على آلية الجسر التي تقفل الرموز المميزة على سلسلة واحدة بينما تصدر نسخًا مقابلة على سلسلة أخرى.
استغل أحد المهاجمين هذا الإعداد عن طريق تزوير رسالة نقل تبدو صالحة. وافق النظام على النقل على الرغم من أنه لم يتم إخراج الرموز المميزة مطلقًا من سلسلة الإرسال، مما يعني أنه تم إنشاء رموز جديدة بشكل فعال دون دعم، مما أدى إلى إطلاق 116,500 rsETH من الجسر بجانب إيثريوم.
وبدلاً من بيع الأصول في السوق المفتوحة، قام المهاجم بإيداع 89,567 rsETH في Aave كضمان واقترض ما يقرب من 190 مليون دولار من ETH والأصول ذات الصلة عبر Ethereum وArbitrum، وفقًا للتقرير. وقد ترك هذا الأمر شركة Aave معرضة للضمانات التي قد يتضرر دعمها بشكل كبير.
وقالت Aave Labs إنها تحركت بسرعة لاحتواء المخاطر. وفي غضون ساعات، قام البروتوكول بتجميد أسواق rsETH عبر عمليات نشره، وضبط نسب القرض إلى القيمة على الصفر، وأوقف الاقتراض الجديد مقابل الأصل.
تعتمد النتيجة الآن إلى حد كبير على كيفية تعامل شركة Kelp مع النقص. إذا تم توزيع الخسائر على جميع حاملي rsETH، فسيواجه الرمز المميز ما يقدر بنحو 15٪ من إلغاء الارتباط (مما يعني أن قيمة الرموز المميزة لن تتطابق مع قيمة ETH الفعلية بالدولار)، مما يؤدي إلى حوالي 124 مليون دولار من الديون المعدومة لشركة Aave. وإذا تم عزل الخسائر بدلا من ذلك على شبكات الطبقة الثانية، فإن التأثير سيكون أكثر خطورة بكثير، مع ارتفاع الديون المعدومة إلى ما يقرب من 230 مليون دولار وتتركز على شبكات مثل أربيتروم ومانتل.
نشأ هذا الاستغلال من نقاط ضعف في كيفية قيام Kelp بالتحقق من الرسائل عبر السلسلة باستخدام LayerZero. من خلال التلاعب بهذه العملية، تمكن المهاجم من جعل بعض الأصول تبدو مدعومة بالكامل عندما لم تكن كذلك، مما سمح له باستخراج القيمة من النظام. لم يتم اختراق LayerZero نفسها بشكل مباشر، لكن طبقة الرسائل الخاصة بها كشفت عن افتراضات خاطئة حول كيفية قيام Kelp بالتحقق من صحة البيانات عبر السلسلة.
أثار الحادث مخاوف من أن بعض المواقف في Aave كانت مدعومة بضمانات تم تسعيرها بشكل خاطئ أو لم تعد مدعومة بالكامل، مما يزيد من مخاطر القروض غير المضمونة.
ردا على ذلك، انتقل المستخدمون للحد من التعرض. تم سحب حوالي 6 مليارات دولار من القيمة الإجمالية المقفلة من Aave في أعقاب الحادث، مما يعكس انسحابًا واسع النطاق حيث كان رد فعل المشاركين على حالة عدم اليقين.
وسلطت الحلقة الضوء على تعرضها غير المباشر للأنظمة الخارجية. وقد ظهر التأثير من خلال زيادة مخاطر الضمانات، والضغط على مراكز الإقراض، والانخفاض الحاد في الودائع حيث قام المستخدمون بإعادة تقييم سلامة البنية التحتية المترابطة للتمويل اللامركزي.
وقال التقرير إن خزانة DAO الخاصة بها تحتوي على ما يقرب من 181 مليون دولار من الأصول وأن المناقشات جارية مع المشاركين في النظام البيئي لمعالجة الخسائر المحتملة. لم تحدد Kelp بعد كيف تخطط لتخصيص الخسائر، مما يجعل تعرض Aave النهائي غير مؤكد مع استمرار تطور الوضع.
اقرأ المزيد: يدعي Kelp DAO أن إعدادات LayerZero "الافتراضية" هي التي تسببت بالفعل في الكارثة الهائلة البالغة 290 مليون دولار