Acordei com o hack do rsETH, comecei a pesquisar no Google.

Muitas pessoas estão acusando a Kelp de negligência.
Depois, encontrei uma pesquisa recém-publicada de @stacy_muur sobre a exploração, e até agora esta é a peça mais detalhada sobre o CT.
TL;DR do que realmente aconteceu ↓
Cerca de 116.500 rsETH (~$292M) foi drenado da ponte.
Mas isto NÃO foi:
– uma exploração de cunhagem
– não foi um bug no contrato inteligente
– não foi reentrância
Isto é importante.
O que aconteceu foi uma mensagem falsa de cadeia cruzada que o Ethereum aceitou como verdadeira.
Pense assim:
O Ethereum recebeu uma mensagem dizendo
“ei, libere fundos – eles foram queimados na outra cadeia”
Exceto… eles nunca foram queimados.
A mensagem parecia 100% legítima estruturalmente, então o sistema a executou.
Importante:
– o colateral rsETH na rede principal está intacto
– os detentores existentes de rsETH não enfrentam corte direto neste momento
E aqui está a imagem realista das zonas de responsabilidade:
@KelpDAO:
▪ Configuração DVN 1:1. Esta é a configuração mínima do LayerZero.
▪ Essa configuração esteve em vigor por pelo menos 90 dias – não foi um erro apressado
▪ 11 das 12 rotas de entrada do Kelp eram 1-para-1 – esse era o padrão padrão deles
▪ Kelp respondeu e congelou contratos, bloqueando ataques adicionais
@LayerZero_Core:
▪ O único DVN necessário é rotulado como "LayerZero: DVN" no Etherscan
▪ Um pacote foi verificado e confirmado por esse DVN sem um evento de origem real
▪ O mesmo DVN está operando normalmente em centenas de outras rotas
Basicamente, o DVN do LayerZero é o componente que verificou uma mensagem. Se isso ocorreu devido a uma chave comprometida, um bug de software ou uma entrada upstream ruim, essa é a questão central sem resposta.