Le protocole : Kelp DAO exploité pour 292 millions de dollars

Actualités du réseau

EXPLOITATION DE KELP DAO : un pont inter-chaînes contenant près d'un cinquième de l'offre en circulation d'un jeton d'éther réinvesti vient d'être épuisé, et les retombées se propagent à travers DeFi plus rapidement que Kelp DAO ne peut suspendre les contrats. Un attaquant a drainé 116 500 rsETH (éther réinvesti) du pont alimenté par LayerZero de Kelp DAO à 17 h 35 UTC au cours du week-end, d'une valeur d'environ 292 millions de dollars aux prix actuels et représentant environ 18 % des 630 000 jetons en circulation de rsETH suivis par CoinGecko. LayerZero est une couche de messagerie inter-chaînes, ou l'infrastructure qui permet à différentes blockchains de s'envoyer des instructions vérifiées. Kelp DAO est un protocole de reprise liquide, qui prend les $ETH déposés par l'utilisateur, les achemine via EigenLayer pour gagner un rendement supplémentaire en plus des récompenses de mise Ethereum standard et émet du rsETH comme reçu négociable. Le pont qui a été vidé contenait les versions enveloppées de réserve rsETH du jeton déployé sur plus de 20 autres blockchains. L'attaquant a trompé la couche de messagerie inter-chaînes de LayerZero en lui faisant croire qu'une instruction valide était arrivée d'un autre réseau, ce qui a incité le pont de Kelp à libérer 116 500 rsETH vers une adresse contrôlée par l'attaquant. La pause d'urgence multisig de Kelp a gelé les contrats principaux du protocole 46 minutes après la vidange réussie, à 18h21 UTC. Deux tentatives de suivi à 18h26 UTC et 18h28 UTC ont toutes deux été annulées, chacune transportant le même paquet LayerZero tentant un autre drain de 40 000 rsETH d'une valeur d'environ 100 millions de dollars. — Shaurya Malwa Lire la suite.

LIVRE DE PLAYBOOK CRYPTO HEIST EN CORÉE DU NORD : Moins de trois semaines après que des pirates informatiques liés à la Corée du Nord ont utilisé l'ingénierie sociale pour frapper la société de trading de crypto Drift, les pirates informatiques liés à la nation semblent avoir réussi un autre exploit majeur avec Kelp. L’attaque contre Kelp, un protocole de restauration lié à l’infrastructure inter-chaînes de LayerZero, suggère une évolution dans la façon dont les pirates informatiques liés à la Corée du Nord opèrent, non seulement à la recherche de bugs ou d’informations d’identification volées, mais en exploitant les hypothèses de base intégrées aux systèmes décentralisés. Pris ensemble, les deux incidents indiquent quelque chose de plus organisé qu’une série de piratages ponctuels, alors que la Corée du Nord continue d’intensifier ses efforts pour détourner les fonds du secteur de la cryptographie. "Il ne s'agit pas d'une série d'incidents ; c'est d'une cadence", a déclaré Alexander Urbelis, responsable de la sécurité de l'information et avocat général chez ENS Labs. « Vous ne pouvez pas vous sortir d’un calendrier d’approvisionnement par des correctifs. » Plus de 500 millions de dollars ont été détournés dans les exploitations Drift et Kelp en un peu plus de deux semaines. À la base, l’exploit Kelp n’impliquait pas de rupture de chiffrement ou de piratage de clés. Le système fonctionnait réellement comme il avait été conçu. Au contraire, les attaquants ont manipulé les données alimentant le système et l'ont forcé à s'appuyer sur ces entrées compromises, l'amenant à approuver des transactions qui n'ont jamais eu lieu. — Margaux Nijkerk En savoir plus.

AAVE AFFECTÉ PAR KELP DAO HACK : un attaquant a exploité cette configuration en falsifiant un message de transfert qui semblait valide. Le système a approuvé le transfert même si les jetons n'ont jamais été retirés de la chaîne d'envoi, ce qui signifie que de nouveaux jetons ont été effectivement créés sans support, libérant 116 500 rsETH du pont côté Ethereum. Plutôt que de vendre les actifs sur le marché libre, l'attaquant a déposé 89 567 rsETH dans Aave en garantie et a emprunté environ 190 millions de dollars en ETH et les actifs associés sur Ethereum et Arbitrum, selon le rapport. Cela a laissé Aave exposé à des garanties dont le support peut être considérablement compromis. Aave Labs a déclaré avoir agi rapidement pour contenir le risque. En quelques heures, le protocole a gelé les marchés du rsETH dans l’ensemble de ses déploiements, fixé les ratios prêt/valeur à zéro et interrompu les nouveaux emprunts sur l’actif. Le résultat dépend désormais en grande partie de la manière dont Kelp gère le déficit. Si les pertes sont réparties entre tous les détenteurs de rsETH, le jeton serait confronté à une réduction estimée de 15 % (ce qui signifie que la valeur des jetons mis en jeu ne correspondrait pas à la valeur réelle de l'ETH), ce qui entraînerait environ 124 millions de dollars de créances irrécouvrables pour Aave. Si les pertes étaient plutôt limitées aux réseaux de couche 2, l'impact serait bien plus grave, avec des créances irrécouvrables s'élevant à environ 230 millions de dollars et concentrées sur des réseaux tels qu'Arbitrum et Mantle. — Margaux Nijkerk En savoir plus.

COINBASE COMMANDE UN DOCUMENT SUR LES RISQUES DE L'INFORMATIQUE QUANTIQUE : Un nouveau rapport commandé par Coinbase sonne une alarme prudente, mais urgente : l'informatique quantique ne brisera pas la cryptographie demain, mais l'industrie ne peut pas se permettre d'attendre. Le document de 50 pages, rédigé par un comité consultatif indépendant composé d’éminents cryptographes et universitaires tels que Dan Boneh de l’Université de Stanford, Justin Drake de la Fondation Ethereum et Sreeram Kannan d’Eigen Labs, conclut que même si les blockchains actuelles restent sécurisées, un futur « ordinateur quantique tolérant aux pannes » capable de briser le cryptage largement utilisé est de plus en plus plausible et la préparation doit commencer dès maintenant. Ces derniers mois, les préoccupations concernant le risque quantique sont devenues de plus en plus répandues. Les chercheurs de Google ont publié une estimation