Theo dữ liệu on-chain, Kelp DAO dường như vừa bị rút 116,500 rsETH khỏi cầu nối cross-chain dùng LayerZero vào thứ Bảy, với giá trị ước tính khoảng 292 triệu USD.
Giao dịch rút tiền diễn ra lúc khoảng 00:35 rạng sáng (giờ Việt Nam). Cụ thể, ví của kẻ tấn công gọi hàm lzReceive trên hợp đồng EndpointV2 của LayerZero, từ đó kích hoạt bridge của Kelp chuyển 116,500 rsETH sang một địa chỉ khác do attacker kiểm soát (dựa trên log của giao dịch).
Địa chỉ tấn công được “bơm vốn” khoảng 10 tiếng trước đó thông qua Tornado Cash (pool 1 ETH) – một cách thường thấy để che dấu nguồn tiền trong các vụ exploit DeFi. ZachXBT cũng nói các địa chỉ tấn công được cấp vốn qua Tornado Cash và vụ việc ảnh hưởng trên Ethereum và Arbitrum.
Kelp phản ứng khá nhanh. Khoảng 01:21 sáng (giờ Việt Nam), ví multisig khẩn cấp của dự án đã kích hoạt pauseAll, khiến hàng loạt thành phần chính của giao thức bị tạm dừng, gồm pool nạp, hợp đồng rút, oracle và cả token rsETH.
Đến khoảng 03:10 sáng, Kelp mới đăng thông báo xác nhận công khai: họ phát hiện hoạt động cross-chain bất thường liên quan rsETH, đã tạm dừng các hợp đồng rsETH trên mainnet và một số L2 để điều tra, đồng thời phối hợp với LayerZero, Unichain, đội audit và các chuyên gia bảo mật để truy nguyên nhân.
Kẻ tấn công còn thử rút thêm 2 lần vào khoảng 01:26 và 01:28 sáng nhưng đều thất bại (bị revert), cho thấy lệnh “pause” đã chặn được đợt rút tiếp theo. Hai lần này được cho là nhằm rút thêm 40,000 rsETH (khoảng 100 triệu USD); nếu trót lọt, tổng thiệt hại có thể lên tới khoảng 391 triệu USD.
Vụ việc được nhận định nhắm vào cầu nối OFT (Omnichain Fungible Token) của LayerZero mà Kelp dùng để đưa rsETH qua lại giữa các mạng. Lượng 116,500 rsETH bị lấy tương đương khoảng 18% nguồn cung rsETH đang lưu hành.
Sau sự cố, AAVE giảm khoảng 10% do lo ngại Aave có thể phát sinh “bad debt” liên quan rsETH. Aave cho biết đã đóng băng thị trường rsETH trên Aave V3/V4, đồng thời khẳng định vấn đề đến từ rsETH chứ không phải smart contract của Aave; họ đang rà soát các khoản vay rsETH phát sinh sau vụ exploit và sẽ cập nhật hướng xử lý nếu có thiếu hụt.
Theo dõi CoinMoi để cập nhật những vấn đề HOT nhất của thị trường crypto nhé!!
Bài viết Kelp DAO bị hack bridge rsETH, thất thoát tới 292 triệu USD đã xuất hiện đầu tiên vào ngày CoinMoi.
