Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un attacco informatico ha colpito Kelp DAO, sfruttando una vulnerabilità presente nel bridge cross-chain, permettendo all'attaccante il furto di 116.500 rsETH per un valore pari a 292 milioni di dollari. L’operazione, è stata preparata tramite Tornado Cash, ed è durata solo pochi minuti. L’exploit ha coinvolto Ethereum e Arbitrum, e ha causato ripercussioni su altri protocolli come Aave. L’evento porta all'attenzione i problemi strutturali del DeFi e la fragilità dei sistemi di interoperabilità tra blockchain.
Un normale sabato sera si è trasformato in un vero disastro per un progetto di criptovalute.
Un hacker sconosciuto è riuscito a prelevare centinaia di milioni di dollari attraverso un bridge tra reti, e l’attacco è durato solo pochi minuti.
Un criminale informatico ha prelevato 116.500 token rsETH dal protocollo Kelp DAO. Al tasso di cambio attuale, l’importo corrisponde a circa 292 milioni di dollari. L’attacco è avvenuto intorno alle 17:35 UTC. Un wallet controllato dall’attaccante ha richiamato la funzione lzReceive nel contratto LayerZero, causando il trasferimento automatico degli asset a un altro indirizzo.
Il portafoglio era stato preparato in anticipo. Circa 10 ore prima dell’attacco, l’aggressore lo aveva finanziato tramite Tornado Cash, un servizio spesso utilizzato per nascondere le tracce nella finanza decentralizzata.
L’analista blockchain ZachXBT ha riferito che le perdite potrebbero aver superato i 280 milioni di dollari e aver interessato le reti Ethereum e Arbitrum. Ha inoltre affermato che gli indirizzi coinvolti nell’attacco erano collegati anche a Tornado Cash.
Il team di Kelp DAO non ha reagito immediatamente, infatti quarantasei minuti dopo l’attacco, gli sviluppatori hanno bloccato i contratti chiave. È stato attivato un arresto del sistema, che ha interessato il pool di deposito, il contratto di prelievo, l’oracolo e lo stesso token rsETH. Successivamente, in una dichiarazione ufficiale, il team ha confermato l’attività cross-chain sospetta e ha annunciato di aver sospeso le operazioni su diverse reti di secondo livello.
I registri delle transazioni indicano che l’attaccante ha tentato di continuare l’attacco.
Due ulteriori tentativi [ 1 , 2 ] sono falliti pochi minuti dopo. In entrambi i casi, il sistema ha rifiutato le transazioni. Il tentativo prevedeva il prelievo di altri 40.000 rsETH, che avrebbero aggiunto circa 100 milioni di dollari al danno. Se l’attacco fosse andato a buon fine, le perdite si sarebbero avvicinate ai 391 milioni di dollari.
L’obiettivo principale era il bridge inter-chain OFT, che consente il trasferimento di token tra diverse blockchain. Il volume rubato rappresenta circa il 18% dell’offerta totale di rsETH, stimata in circa 630.000 token. L’asset è utilizzato su oltre 20 reti, tra cui Base, Arbitrum, Linea, Blast, Mantle e Scroll.
L’incidente ha avuto ripercussioni anche su altri progetti. Il token AAVE ha perso circa il 10% del suo valore, a causa dei timori che la piattaforma di prestito potesse incorrere in crediti inesigibili.
Il team di Aave ha bloccato i mercati di rsETH nelle versioni V3 e V4 del protocollo e ha sottolineato che la vulnerabilità era specifica di rsETH e non dei suoi smart contract. Aave ha inoltre dichiarato di star esaminando i prestiti erogati dopo l’attacco e di star valutando soluzioni per coprire eventuali perdite.
