L'attacco hacker da 293 milioni di dollari subito da KelpDAO il 18 aprile ha lasciato Aave, i detentori di rsETH e l'intero ecosistema DeFi con un vuoto che nessuno sa bene come colmare.
Domenica, però, il co-fondatore di DeFiLlama, 0xngmi, ha presentato tre opzioni realistiche e ha analizzato i dati relativi a ciascuna di esse.
Tre scenari, nessuno dei quali pulito
La prima opzione di 0xngmi è quella di ripartire le perdite. Secondo loro, se KelpDAO socializzasse le perdite tra tutti gli utenti, si arriverebbe a una riduzione del 18,5%. Ci sono circa 666.000 rsETH depositati nelle implementazioni di Aave e la maggior parte delle posizioni sulla mainnet sono vicine al rapporto prestito/valore (LTV) massimo, quindi il modello di 0xngmi presuppone che siano essenzialmente in fase di liquidazione.
L'azzeramento di tutte le partecipazioni azionarie in tali posizioni lascerebbe circa 216 milioni di dollari di crediti inesigibili, di cui 55 milioni sarebbero coperti dal programma Umbrella ETH, mentre il tesoro del protocollo potrebbe coprirne altri 85 milioni, lasciando un deficit di circa 76 milioni di dollari. Per colmare questo divario, 0xngmi ha suggerito che Aave potrebbe contrarre un prestito o liquidare i propri token AAVE. Tale riserva ha attualmente un valore di circa 51 milioni di dollari.
La seconda opzione è decisamente peggiore, poiché implicherebbe il "blocco" dei detentori di rsETH sulle blockchain di livello 2. Questo lascerebbe Aave con un'offerta di rsETH pari a 359 milioni di dollari e, ipotizzando che venga interamente bloccata al massimo LTV (Loan-to-Value), creerebbe 341 milioni di dollari di crediti inesigibili sui mercati dei prestiti. Tuttavia, poiché Umbrella non copre nulla, 0xngmi ha affermato che Aave dovrebbe scegliere quali mercati salvare e quali abbandonare, con Arbitrum, Mantle e Base che probabilmente subirebbero le perdite maggiori.
La terza opzione, pur essendo tecnicamente la più allettante, potrebbe essere la più difficile da attuare. Consiste nel tornare a una situazione precedente all'attacco informatico e cercare di risarcire solo le vittime dirette. Ciò significherebbe restituire i 124 milioni di dollari che l'hacker avrebbe sottratto ad Aave e altri 18 milioni di dollari ad Arbitrum. Il problema, però, è che, dall'attacco, il denaro si è spostato molto tra i vari protocolli di pooling, rendendo difficile separare nettamente i fondi di un depositante da quelli di un altro.
Il fondatore di OneKey, Yishi, ha anche proposto una quarta via, al di fuori del quadro di 0xngmi: negoziare prima con l'hacker, offrendogli una ricompensa del 10-15%, e cercare di recuperare la maggior parte del denaro prima di dover prendere decisioni più difficili. Se questo tentativo fallisce, Yishi ha sostenuto che il fondo per l'ecosistema di LayerZero dovrebbe farsi carico della maggior parte delle spese, viste le sue risorse e il suo interesse a lungo termine nella preservazione dell'ecosistema OFT.
Come 293 milioni di dollari sono stati dispersi in due transazioni
Il fondatore di Cyvers, Meir Dolev, ha ricostruito la cronologia on-chain dell'attacco a KelpDAO, e si è rivelata molto rapida. Il portafoglio dell'attaccante è stato finanziato tramite Tornado Cash circa 10 ore prima che accadesse qualcosa. Poi, alle 17:35 UTC del 18 aprile, si sono verificate due transazioni: commitVerification su ReceiveUIn302 di LayerZero, seguita 24 secondi dopo da IzReceive su EndpointV2. Questa seconda transazione ha prosciugato in un colpo solo 116.500 rsETH, per un valore di circa 293,5 milioni di dollari.
Il sistema multisig di KelpDAO ha risposto alle 18:23 UTC inserendo nella blacklist l'indirizzo del destinatario dell'attaccante su rsETH, e l'operazione ha avuto successo. Un secondo tentativo, 3 minuti dopo, che avrebbe sottratto altri 40.000 rsETH per un valore di circa 100 milioni di dollari, è stato bloccato e annullato.
Secondo Dolev, la causa principale era piuttosto semplice: il bridge Unichain-to-Ethereum di KelpDAO richiedeva una sola attestazione DVN per sbloccare i fondi. Falsificando quella singola verifica, l'hacker è riuscito a spostare 293 milioni di dollari.
Anche LayerZero ha pubblicato una propria dichiarazione , attribuendo l'attacco all'unità TraderTraitor di Lazarus Group. L'azienda ha affermato che il protocollo ha funzionato come previsto e ha indicato direttamente la configurazione DVN 1-of-1 di KelpDAO come causa dell'attacco, sottolineando di aver precedentemente raccomandato configurazioni multi-DVN a tutti i partner di integrazione.
Il ricercatore di sicurezza Andy è stato più diretto, definendo "estremamente irresponsabile" la decisione di KelpDAO di gestire un singolo DVN (Distributed Valuation Network) detenendo 1,5 miliardi di dollari di fondi degli utenti e avvertendo che decine di altri protocolli stanno attualmente utilizzando la stessa identica configurazione.
L'articolo " Il co-fondatore di DeFiLlama suggerisce 3 percorsi per risolvere le conseguenze dell'attacco hacker a KelpDAO da 293 milioni di dollari" è apparso per la prima volta su CryptoPotato .