#KelpDAO跨链桥遭攻击

最新進展 - Kelp DAO に対する2.92億ドルの脆弱性攻撃とLayerZeroの責任擦り付け合い

4月18日、ゼロレイヤーが提供するクロスチェーンブリッジKelp DAOは、116,500 rsETHトークンを失い、約2.92億ドルの価値となり、今年これまでで最大のDeFi脆弱性となった。攻撃者はLayerZero Labsの分散型検証ネットワーク（DVN）が使用するRPCノードリストを入手した。攻撃者はその後、2つのRPCノードを改ざんし、DDoS攻撃を仕掛け、DVNに偽造されたクロスチェーンメッセージを受け入れさせ、違法な取引に署名させた。

以前、LayerZeroは公開レポートでKelp DAOの1対1のDVN設定を批判し、必要な独立検証が欠如しているために詐欺的なクロスチェーンメッセージを捕捉できず、単点故障を引き起こすと指摘した。レポートは次のように述べている：「LayerZeroや他の外部機関は以前、Kelp DAOに対して分散型仮想ネットワーク（DVN）の多様化に関するベストプラクティスを伝えていた。これらの提案にもかかわらず、Kelp DAOは依然として1/1のDVN設定を採用した。」

一方、Kelp DAOは月曜日に声明を出し、この件に対する直接的な責任を軽減した。1対1のDVN設定の責任をLayerZeroに押し付けた。

KelpはX上の声明で次のように述べた：「1対1のDVN設定はLayerZeroのドキュメントに記録されている設定であり、新しいOFT展開のデフォルト設定でもある。2024年1月以降、KelpはLayerZeroのインフラ上で運用されており、常にLayerZeroチームとオープンなコミュニケーションを維持している。」また、DVN設定の問題はL2への拡張時に提起され、そのときのデフォルト設定は「明確に適切と認められていた」と付け加えた。

このクロスチェーンブリッジは、初期対応策として関連コントラクトの一時停止や攻撃者と関連付けられたウォレットのブラックリスト登録などを行い、事態の収拾に役立てたと述べている。

😞双方が責任を擦り付け合い、無実のAAVEは傷つき、2億ドル超の不良債権は誰が管理するのか？

攻撃者は大量に盗んだ資産をAave V3に預け入れた。攻撃者はrsETHを担保に大量のWETHを借り入れ、プロトコルの不良債権リスクを高めている。

Aaveの最新事件レポートによると、攻撃者は89,567 rsETH（約2.21億ドル相当）を担保として提供し、82,650 WETHと821 wstETHを借り入れた。これにより、これらのポジションの健全性係数は非常に低くなった。現状のデータに基づき、Aaveは2つの仮定の不良債権シナリオを概説しているが、Kelpは正式に損失分配や回収計画を発表していない。

第一のシナリオは損失を均等に分配するもので、約112,204 rsETHがすべてのチェーンに平均分配されると仮定している。これにより、15.12%のデペンデンス（資金の引き出し不能）が発生し、Aaveには約1億2370万ドルの不良債権が生じる。

第二の仮定は、損失がL2のrsETHに限定され、EthereumメインネットのrsETHは完全にサポートされ続ける場合だ。この場合、L2の担保は73.54%削減される。これにより、Mantle、Arbitrum、BaseのWETH市場などのL2市場で最大2億3010万ドルの不良債権が発生する。

Aaveは次のように述べている：「どのシナリオが起こるかは、Aaveがコントロールできない決定、主にrsETHの会計処理方法とLRTOracleのレート更新方式に依存している。」

また、Aaveは、Aave DAOが1億8100万ドルの資産を保有し、資産状況は良好であるとし、エコシステム参加者からの複数の支援表明を受けており、不良債権が発生した場合でもプロトコルを支援する準備が整っていると述べている。