La polemica sul furto di DRIFT su SOLANA non si è placata, oggi il mondo delle criptovalute ha nuovamente incontrato un cigno nero on-chain, Kelp DAO ha davvero riportato alla luce il rischio delle due parole 'cross-chain'!
Il 19 aprile, i dati on-chain mostrano che l'attaccante ha prelevato direttamente 116500 rsETH dal ponte cross-chain basato su LayerZero di Kelp DAO, per un valore di mercato di circa 292 milioni di dollari. Ancora più spietato, l'hacker non ha agito d'impulso; circa 10 ore prima, aveva già prelevato fondi da Tornado Cash e poi ha invocato il metodo lzReceive su LayerZero EndpointV2, infilando gradualmente il contratto di bridging.
La mia prima reazione dopo aver visto non è stata "ancora hackerato", ma: questi ponti sono davvero i luoghi più facili da amplificare in disastri nel DeFi. Perché una volta che il percorso di verifica del messaggio presenta problemi, gli asset non sono "persi un po'", ma potrebbero essere portati via completamente. Questa volta Kelp ha reagito rapidamente, ha immediatamente sospeso i contratti rsETH su mainnet e su più L2, collaborando con LayerZero, Unichain e il team di sicurezza per indagare sulle cause.
Le azioni di Aave sono state dirette: il mercato rsETH è stato congelato, V3 e V4 sono completamente fermi, per evitare che i crediti deteriorati continuino a diffondersi; se ci sarà davvero un buco, Aave ha detto che cercherà di rimediare. Ma il mercato non ascolta spiegazioni, AAVE è comunque sceso di circa il 10%, questo è il mercato delle emozioni, prima si reagisce e poi si parla.
Ciò che fa più male è che questa è già la seconda volta che Kelp ha problemi in un anno. Ad aprile dello scorso anno, rsETH ha sofferto di un eccesso di conio a causa di una vulnerabilità del contratto, anche se quella volta non ha causato perdite reali agli utenti, questa volta non è più una "falsa allerta". In parole povere, ciò che il DeFi teme di più non è una vulnerabilità, ma pensare sempre "l'ultima volta non è successo nulla, anche questa volta non succederà".
Essendo parte del mondo delle criptovalute, ciò che ci preoccupa di più non è se possiamo recuperare questi 292 milioni, ma chi si assumerà il rischio in seguito. Cross-chain, re-staking, prestiti, più lunga è la catena, più punti deboli ci sono. Oggi è Kelp, domani potrebbe essere un altro protocollo. Il mercato ama parlare di innovazione, ma la sicurezza è sempre la lezione più costosa e anche la più facilmente trascurata.#Kelp DAO遭攻击 #山寨币复苏? $AAVE
