Звичайний суботній вечір обернувся для одного криптопроекту справжньою катастрофою. Невідомий зловмисник зумів вивести сотні мільйонів доларів через міжмережевий міст, і атака зайняла лічені хвилини.
Кіберзлочинець вивів 116500 токенів rsETH з протоколу Kelp DAO. За поточним курсом сума сягає приблизно 292 млн доларів. Атака відбулася близько 17:35 за всесвітнім
часом. Керований зловмисником гаманець викликав функцію IzReceive у контракті LayerZero, після чого міст автоматично перевів активи на іншу адресу. Гаманець підготували заздалегідь. Приблизно за 10 годин до атаки зловмисник поповнив його через сервіс
Tornado Cash, який часто використовують для
приховування слідів у децентралізованих фінансах. Фахівець з аналізу блокчейну ZachXBT повідомив , що втрати могли перевищити 280 млн доларів і торкнулися мережі Ethereum та Arbitrum. За його словами, адреси, які задіяні в атаці, також повʼязані з Tornado Cash. Команда Kelp DAO відреагувала не одразу, але досить швидко. За 46 хвилин після атаки розробники зупинили роботу ключових контрактів. У системі активували аварійну паузу, яка торкнулася пулу депозитів, контракту виведення коштів, оракул і сам токен rsETH.