#KelpDAO跨链桥遭攻击

最新进展-Kelp DAO 针对2.92 亿美元漏洞攻击与LayerZero互相甩锅

4 月 18 日，由 零层提供支持的跨链桥 Kelp DAO 损失了 116,500 个 rsETH 代币，价值约 2.92 亿美元，成为今年迄今为止最大的 DeFi 漏洞。攻击者获取了LayerZero Labs去中心化验证网络（DVN）使用的RPC节点列表。攻击者随后篡改了两个RPC节点，并发起DDoS攻击，迫使DVN接受伪造的跨链消息，从而签署了一笔非法交易。

早前LayerZero在发布的报告中批评了Kelp DAO的1对1 DVN配置指出，由于缺乏必要的独立验证来捕获欺诈性的跨链消息，因此造成了单点故障。报告称：“LayerZero和其他外部机构此前已向Kelp DAO传达了关于分布式虚拟网络（DVN）多元化的最佳实践。尽管有这些建议，Kelp DAO仍然选择采用1/1的DVN配置。”

另一方面，Kelp DAO周一发表声明，淡化其对此事的直接责任。将 1 对 1 DVN 设置的责任推卸给了 LayerZero。

Kelp 在 X 上的声明中写道：“1 对 1 DVN 设置是 LayerZero 文档中记录的配置，也是任何新的 OFT 部署的默认配置。自 2024 年 1 月以来，Kelp 一直在 LayerZero 基础设施上运行，并始终与 LayerZero 团队保持着开放的沟通渠道。”Kelp 还补充说，DVN 配置问题在扩展到 L2 时被提出，当时默认设置“被明确确认为合适”。

该跨链桥还表示，其初步应对措施——包括暂停相关合约和将与攻击者关联的钱包列入黑名单——有助于控制事态发展。

😞双方互相甩锅，无辜的AAVE表示很受伤，2亿多的坏账谁来管管我？

攻击者将大量窃取的资产存入了 Aave V3 版本。攻击者使用 rsETH 作为抵押品借入了大量 WETH，增加了该协议的坏账风险。

Aave的最新事件报告据称，攻击者提供了 89,567 个 rsETH（价值约 2.21 亿美元）作为抵押品，并借入了 82,650 个 WETH 和 821 个 wstETH，导致这些头寸的健康系数非常低。该协议根据现有数据概述了两种假设的坏账情景，因为 Kelp 尚未正式宣布损失分配或追偿计划。

第一种方案描述了损失的均匀分配，假设约 112,204 个 rsETH 将平均分配到所有链上。这将导致 15.12% 的去锚定，并给 Aave 带来约 1.237 亿美元的坏账。

第二种假设是损失仅限于 L2 rsETH，以太坊主网 rsETH 仍完全受支持。在这种情况下，L2 抵押品将被削减 73.54%。这将导致 Mantle、Arbitrum 和 Base 的 WETH 市场等 L2 市场出现高达 2.301 亿美元的坏账。

Aave 表示：“哪种情况会发生取决于 Aave 无法控制的决策，主要是 rsETH 的会计处理方式和 LRTOracle 汇率的更新方式。”

此外，Aave 表示，Aave DAO 拥有 1.81 亿美元的资产，资产状况良好，并且已收到生态系统参与者的多项承诺，以在出现坏账时支持该协议。$BTC $RAVE $ETH