Взлом моста Kelp DAO: в кроссчейн-атаке похищено $292 млн

CoinDesk сообщает, что у Kelp DAO выявлена уязвимость: кроссчейн-мост, на котором хранилось почти 20% находящегося в обращении restaked ETH, был опустошён, а последствия инцидента быстро распространились по DeFi — быстрее, чем Kelp DAO успела приостановить контракты. Атака на мост Kelp DAO, работающий при поддержке LayerZero, произошла в 17:35 UTC в прошлые выходные. По текущим ценам ущерб оценивается примерно в $292 млн в токенах. По данным CoinGecko, это около 18% циркулирующего предложения rsETH: из 630 000 токенов было выведено 116 500 rsETH. LayerZero — слой кроссчейн-обмена сообщениями, позволяющий передавать верифицированные инструкции между разными блокчейнами. Kelp DAO — протокол liquid restaking: он принимает депозиты ETH, направляет их через EigenLayer для получения дополнительной доходности сверх стандартных наград за стейкинг в Ethereum и выпускает торгуемый токен rsETH. Скомпрометированный мост хранил резервы rsETH, обеспечивающие обёрнутые версии rsETH, развернутые более чем в 20 других блокчейнах. Злоумышленник ввёл слой кроссчейн-сообщений LayerZero в заблуждение, заставив его принять инструкцию из другой сети за действительную, после чего мост Kelp отправил 116 500 rsETH на адреса, контролируемые атакующим. Экстренный механизм emergency pause на базе multisig заморозил ключевые контракты протокола через 46 минут после успешной кражи — в 18:21 UTC. Затем последовали ещё две попытки (в 18:26 и 18:28 UTC), обе завершились неудачей. В обоих случаях использовался один и тот же пакет данных LayerZero; целью было вывести ещё 40 000 rsETH — около $100 млн. Shorya Malwa