O breșă majoră de securitate a zguduit spațiul DeFi după ce Kelp DAO a suferit o exploatare masivă implicând tokenul său rsETH. Atacul, estimat la aproximativ 292 de milioane de dolari, se crede că este legat de o vulnerabilitate în LayerZero. Atacatorul a reușit să dreneze aproximativ 116,500 rsETH prin exploatarea unei apeluri de funcție în cadrul sistemului de pod al protocolului, declanșând transferuri neautorizate către un portofel controlat. Operațiunea a părut extrem de coordonată, cu finanțări anterioare direcționate prin Tornado Cash pentru a obține origine ale tranzacțiilor.
Breșa a avut loc pe mai multe rețele, inclusiv Ethereum și Arbitrum, evidențiind riscurile în creștere asociate cu infrastructura cross-chain. Investigatorul blockchain ZachXBT a fost printre primii care au semnalat incidentul, estimând pierderi de peste 280 de milioane de dolari. Exploatarea a vizat mecanismul de pod al Kelp DAO, în special printr-o apelare a funcției “lzReceive”, care a permis atacatorului să ocolească măsurile de protecție și să elibereze fonduri.
Ca răspuns, Kelp DAO a acționat rapid prin suspendarea protocolului său folosind un multisig de urgență. Sistemele critice—inclusiv piscinele de depunere, modulele de retragere și contractul tokenului rsETH—au fost temporar oprite pentru a preveni daune suplimentare. Această intervenție rapidă s-a dovedit crucială, deoarece două încercări suplimentare de exploatare la scurt timp după breșa inițială au fost blocate cu succes. Fără această acțiune, pierderile totale ar fi putut escalada aproape de 400 de milioane de dolari.
Impactul s-a extins dincolo de Kelp DAO, trimițând unde de șoc prin ecosistemul DeFi mai larg. Aave a răspuns prin înghețarea piețelor rsETH pe implementările sale V3 și V4 din cauza îngrijorărilor legate de expunerea potențială la datorii proaste. Deși Aave a confirmat că propriile sale contracte inteligente nu au fost compromise, platforma evaluează acum riscurile legate de împrumuturile susținute de rsETH și ar putea activa mecanisme de siguranță, dacă este necesar.
Acest incident a reaprins îngrijorările legate de securitatea podurilor între lanțuri, în special cele care permit transferurile de tokenuri omnichain. Cu rsETH extinzându-se pe mai mult de 20 de rețele, exploatarea subliniază modul în care vulnerabilitățile dintr-o componentă pot afecta multiple ecosisteme. De asemenea, marchează a doua mare problemă pentru Kelp DAO într-un an, ridicând întrebări cu privire la fiabilitatea sa pe termen lung și practicile de gestionare a riscurilor.
Pe măsură ce investigațiile continuă, atenția se concentrează pe identificarea cauzei de bază și explorarea opțiunilor de recuperare. Scala exploatării evidențiază o provocare persistentă în finanțele descentralizate: echilibrarea interoperabilității cu o securitate robustă. Pentru utilizatorii și protocoalele care interacționează cu rsETH, situația rămâne incertă, întărind importanța prudenței în medii de tip cross-chain din ce în ce mai complexe.
