La stabilité de DeFi a été ébranlée alors qu'Aave est sur le point de toucher un montant massif de 230 millions de dollars suite à une violation de la sécurité de Kelp DAO
L'exploit du pont Kelp DAO et LayerZero survenu ce week-end a laissé le protocole de prêt Aave confronté à des pertes potentielles pouvant atteindre 230 millions de dollars, selon la manière dont la situation est résolue.
L'incident, selon un rapport d'Aave Labs et du fournisseur de services LlamaRisk publié sur le forum de gouvernance d'Aave, se concentre sur rsETH, un jeton de reprise liquide émis par KelpDAO. Pour déplacer rsETH entre les blockchains, le protocole s'appuie sur un mécanisme de pont qui verrouille les jetons sur une chaîne tout en émettant des copies correspondantes sur une autre.
Un attaquant a exploité cette configuration en falsifiant un message de transfert qui semblait valide. Le système a approuvé le transfert même si les jetons n'ont jamais été retirés de la chaîne d'envoi, ce qui signifie que de nouveaux jetons ont été effectivement créés sans support, libérant 116 500 rsETH du pont côté Ethereum.
Plutôt que de vendre les actifs sur le marché libre, l'attaquant a déposé 89 567 rsETH dans Aave en garantie et a emprunté environ 190 millions de dollars en ETH et les actifs associés sur Ethereum et Arbitrum, selon le rapport. Cela a laissé Aave exposé à des garanties dont le support peut être considérablement compromis.
Aave Labs a déclaré avoir agi rapidement pour contenir le risque. En quelques heures, le protocole a gelé les marchés du rsETH dans l’ensemble de ses déploiements, fixé les ratios prêt/valeur à zéro et interrompu les nouveaux emprunts sur l’actif.
Le résultat dépend désormais en grande partie de la manière dont Kelp gère le déficit. Si les pertes sont réparties entre tous les détenteurs de rsETH, le jeton serait confronté à une réduction estimée de 15 % (ce qui signifie que la valeur des jetons mis en jeu ne correspondrait pas à la valeur réelle de l'ETH), ce qui entraînerait environ 124 millions de dollars de créances irrécouvrables pour Aave. Si les pertes étaient plutôt limitées aux réseaux de couche 2, l’impact serait bien plus grave, les créances irrécouvrables s’élevant à environ 230 millions de dollars et concentrées sur des réseaux tels qu’Arbitrum et Mantle.
L'exploit découle de faiblesses dans la façon dont Kelp vérifie les messages inter-chaînes à l'aide de LayerZero. En manipulant ce processus, l'attaquant a pu faire apparaître certains actifs entièrement garantis alors qu'ils ne l'étaient pas, ce qui leur a permis d'extraire de la valeur du système. LayerZero lui-même n'a pas été directement piraté, mais sa couche de messagerie a exposé des hypothèses erronées sur la façon dont Kelp a validé les données inter-chaînes.
L'incident a fait naître des inquiétudes quant au fait que certaines positions sur Aave étaient adossées à des garanties mal évaluées ou qui ne sont plus entièrement garanties, augmentant ainsi le risque de prêts sous-garantis.
En réponse, les utilisateurs ont décidé de réduire leur exposition. Environ 6 milliards de dollars d'une valeur totale bloquée ont été retirés d'Aave à la suite de l'incident, reflétant un large recul alors que les participants réagissaient à l'incertitude.
L’épisode a mis en évidence son exposition indirecte à des systèmes externes. L’impact s’est fait sentir à travers un risque accru de garantie, une pression sur les positions de prêt et une forte baisse des dépôts alors que les utilisateurs réévaluaient la sécurité de l’infrastructure DeFi interconnectée.
Le rapport indique que sa trésorerie DAO détient environ 181 millions de dollars d'actifs et que des discussions sont en cours avec les participants de l'écosystème pour faire face aux pertes potentielles. Kelp n’a pas encore expliqué comment il envisage de répartir les pertes, ce qui laisse l’exposition ultime d’Aave incertaine alors que la situation continue d’évoluer.
Lire la suite : Kelp DAO affirme que les paramètres « par défaut » de LayerZero sont à l'origine du désastre massif de 290 millions de dollars.