Il Protocollo: Kelp DAO sfruttato per 292 milioni di dollari

Notizie sulla Rete

SFRUTTAMENTO DI KELP DAO: Un ponte cross-chain che detiene quasi un quinto della fornitura circolante di token ether restaked è stato appena svuotato, e le conseguenze si stanno diffondendo nella DeFi più rapidamente di quanto Kelp DAO riesca a mettere in pausa i contratti. Un attaccante ha prelevato 116.500 rsETH (ether restakato) dal Kelp DAO's Il bridge alimentato da LayerZero alle 17:35 UTC nel corso del weekend, del valore di circa 292 milioni di dollari ai prezzi attuali e rappresentante circa il 18% della fornitura circolante di 630.000 token rsETH tracciata da CoinGecko. LayerZero è un livello di messaggistica cross-chain, ossia l'infrastruttura che consente a diverse blockchain di inviare istruzioni verificate tra loro. Kelp DAO è un protocollo di liquid restaking, che prende ETH depositati dagli utenti, li instrada tramite EigenLayer per guadagnare un rendimento aggiuntivo oltre alle ricompense standard dello staking su Ethereum, ed emette rsETH come ricevuta negoziabile. Il bridge che è stato svuotato conteneva la riserva di rsETH a supporto delle versioni wrapped del token distribuite su oltre 20 altre blockchain. L'attaccante ha ingannato il livello di messaggistica cross-chain di LayerZero facendogli credere che fosse arrivata un’istruzione valida da un’altra rete, il che ha innescato il rilascio di 116.500 rsETH verso un indirizzo controllato dall’attaccante. Il multisig emergency pauser di Kelp ha congelato i contratti principali del protocollo 46 minuti dopo il drenaggio riuscito, alle 18:21 UTC. Due tentativi successivi alle 18:26 UTC e alle 18:28 UTC sono entrambi falliti, ciascuno recando lo stesso pacchetto LayerZero che tentava un ulteriore drenaggio di 40.000 rsETH per un valore di circa 100 milioni di dollari. — Shaurya Malwa Leggi di più.

MANUALE DEI RAPINATORI DI CRIPTOVALUTE DELLA COREA DEL NORD: Meno di tre settimane dopo che hacker legati alla Corea del Nord hanno utilizzato l'ingegneria sociale per hit società di trading crypto Drift, hacker legati alla nazione sembrano aver portato a termine un'altra violazione importante ai danni di Kelp. L'attacco a Kelp, un protocollo di restaking integrato nell'infrastruttura cross-chain di LayerZero, suggerisce un'evoluzione nel modus operandi degli hacker collegati alla Corea del Nord, non stiamo solo cercando bug o credenziali rubate, ma sfruttando le assunzioni di base incorporate nei sistemi decentralizzati. Presi insieme, i due incidenti indicano qualcosa di più organizzato di una serie di attacchi occasionali, mentre la Corea del Nord continua ad intensificare i suoi sforzi per dirottare fondi dal settore delle criptovalute. «Non si tratta di una serie di incidenti; è una cadenza», ha dichiarato Alexander Urbelis, chief information security officer e consulente legale generale di ENS Labs. «Non si può risolvere tutto con una semplice patch a un programma di approvvigionamento.» Oltre 500 milioni di dollari sono stati drenati attraverso gli exploit Drift e Kelp in poco più di due settimane. Nel suo nucleo, l’exploit Kelp non ha comportato la rottura della crittografia o lo sblocco delle chiavi. Il sistema ha effettivamente funzionato come previsto. Piuttosto, gli attaccanti hanno manipolato i dati immessi nel sistema, costringendolo a fare affidamento su quegli input compromessi, causando così l’approvazione di transazioni che in realtà non si sono mai verificate. — Margaux Nijkerk Leggi di più.

AAVE COLPITO DALL'ATTACCO HACKER A KELP DAO: Un attaccante ha sfruttato questa configurazione contraffacendo un messaggio di trasferimento che sembrava valido. Il sistema ha approvato il trasferimento nonostante i token non siano mai stati rimossi dalla catena di invio, il che significa che sono stati effettivamente creati nuovi token senza copertura, liberando 116.500 rsETH dal ponte lato Ethereum. Invece di vendere gli asset sul mercato aperto, l’attaccante ha depositato 89.567 rsETH su Aave come garanzia e ha preso in prestito circa 190 milioni di dollari in ETH e asset correlati su Ethereum e Arbitrum, secondo il rapporto. Questo ha lasciato Aave esposto a garanzie il cui valore di copertura potrebbe essere significativamente compromesso. Aave Labs ha dichiarato di aver agito rapidamente per contenere il rischio. Nel giro di poche ore, il protocollo ha bloccato i mercati rsETH su tutte le sue implementazioni, ha azzerato i rapporti loan-to-value e ha sospeso nuovi prestiti contro l’asset. L’esito ora dipende in gran parte da come Kelp gestirà il disavanzo. Se le perdite saranno distribuite tra tutti i detentori di rsETH, il token subirebbe una depegging stimata del 15% (il che significa che il valore dei token in stake non corrisponderebbe al valore reale dell’ETH), causando circa 124 milioni di dollari di debito insoluto per Aave. Se invece le perdite fossero isolate alle reti Layer 2, l’impatto sarebbe molto più grave, con il debito insoluto che salirebbe a circa 230 milioni di dollari, concentrato su reti come Arbitrum e Mantle.— Margaux Nijkerk Leggi di più.

COINBASE COMMISSIONA UN DOCUMENTO SUI RISCHI DEL CALCOLO QUANTISTICO: Un nuovo rapporto commissionato da Coinbase lancia un allarme cauto, ma urgente: il quantum computing non spezzerà le criptovalute domani, ma il settore non può permettersi di aspettare. Il documento di 50 pagine, redatto da un comitato consultivo indipendente che include criptografi di spicco e accademici come Dan Boneh della Stanford University, Justin Drake della Ethereum Foundation e Sreeram Kannan di Eigen Labs, conclude che sebbene le blockchain odierne rimangano sicure, un futuro "computer quantistico tollerante agli errori" in grado di rompere la crittografia ampiamente utilizzata è sempre più plausibile, e la preparazione deve iniziare ora. Negli ultimi mesi, le preoccupazioni riguardanti il rischio quantistico sono entrate sempre più nel mainstream. I ricercatori di Google hanno pubblicato stime che suggeriscono che un quantum il computer potrebbe un giorno violare la crittografia di Bitcoin. I principali ecosistemi cripto hanno già iniziato a definire le loro risposte. La Ethereum Foundation ha proposto nuovi tipi di firme digitali progettate per essere sicure contro i computer quantistici, mentre Solana e altri stanno sperimentando design di portafogli resistenti alla tecnologia quantistica. Il rapporto sottolinea che le attuali macchine quantistiche sono ben lontane dall’essere sufficientemente potenti per violare la crittografia alla base di Bitcoin, Ethereum e di altre reti. Rompere la crittografia standard richiederebbe un’enorme capacità computazionale, un traguardo ancora considerato una sfida ingegneristica significativa. — Margaux Nijkerk Leggi di più.

In altre notizie

• Una parte del bottino del Kelp DAO non si muoverà più da nessuna parte. Il Consiglio di Sicurezza di Arbitrum ha congelato 30.766 ETH per un valore di circa 71 milioni di dollari lunedì sera, trasferendo fondi legati all'exploit rsETH del valore di 292 milioni di dollari avvenuto sabato in un portafoglio intermediario accessibile solo tramite ulteriori azioni di governance di Arbitrum. Il consiglio ha dichiarato di aver agito su indicazione delle autorità giudiziarie riguardo all'identità dell'autore dell'exploit ed ha eseguito il congelamento «senza impattare alcun utente o applicazione Arbitrum». Il trasferimento si è completato alle 23:26 ET del 20 aprile, secondo la dichiarazione di Arbitrum su X. I fondi rubati non sono più sotto il controllo dell'indirizzo che li deteneva originariamente. — Shaurya Malwa Leggi di più.
• A Contratto Polymarket sulla possibilità che Kelp DAO distribuisca le perdite derivanti dallo sfruttamento del fine settimana da 292 milioni di dollari oltre i soggetti direttamente colpiti sta indicando una risposta chiara: probabilmente no. Gli scommettitori attribuiscono una probabilità del 14% che Kelp "socializzi le perdite," ovvero implementi un meccanismo che costringa i detentori di rsETH su Ethereum, che non è stata coinvolta, a condividere il danno subito dagli utenti su altre catene. Gli aggressori hanno drenato circa 116.500 rsETH da un bridge basato su LayerZero che deteneva le riserve a garanzia del token su più di 20 blockchain. Ciò ha lasciato alcune parti del sistema sotto-collateralizzate, con alcuni detentori che effettivamente possedevano token non più completamente garantiti da ether (ETH). “Socializzare le perdite” significherebbe che Kelp redistribuisce il disavanzo tra tutti i detentori di rsETH, inclusi quelli sulla mainnet di Ethereum, anziché lasciare le perdite concentrate tra utenti e protocolli legati al bridge compromesso. Il precedente più citato di questo approccio risale al 2016, quando Bitfinex ha imposto perdite su tutti gli utenti dopo un hack da 60 milioni di dollari, mutualizzando efficacemente il colpo per evitare la chiusura. — Sam Reynolds Leggi di più.

Regolamentazione e Politiche

• Aprile sembra essere una causa persa per il Crypto Clarity Act, ma un'audizione del comitato del Senato degli Stati Uniti prevista per maggio potrebbe mantenere in vita la legislazione critica sulla struttura del mercato, purché riesca a raggiungere una votazione finale dell'intero Senato entro luglio, secondo quanto dichiarato da lobbisti e da un assistente di un legislatore focalizzato sul lento progresso del disegno di legge sulla struttura del mercato. Il calendario legislativo sta esaurendo gli spazi per quest'anno, ma un assistente del Senato ha detto a CoinDesk che un possibile nuovo ritardo di un paio di settimane — che permetterebbe al senatore repubblicano Thom Tillis di terminare le discussioni con i banchieri riguardo alle preoccupazioni sul rendimento degli stablecoin — non sta ancora spingendo questo lavoro oltre il punto di non ritorno. L'assistente ha anche dichiarato che le negoziazioni precedenti sulle protezioni della finanza decentralizzata (DeFi) sono di fatto risolte, lasciando pochi altri ostacoli all'approvazione da parte del comitato. Uno dei principali problemi che l'industria crypto deve affrontare (se riesce a superare il persistente ostacolo delle obiezioni del settore bancario riguardo ai premi sugli stablecoin) è che l'audizione presso il Comitato Bancario del Senato, che il disegno di legge deve superare, sarebbe solo il primo di molti passi. — Jesse Hamilton Leggi di più.
• Il creatore di Tron Justin Sun ha intentato una causa contro World Liberty Financial, la società di stablecoin e criptovalute sostenuta da membri della famiglia del Presidente degli Stati Uniti Donald Trump, martedì, accusando il progetto di aver ingiustamente bloccato le sue partecipazioni in $WLFI, di aver fatto dichiarazioni fraudolente e di aver minacciato e diffamato Sun. La causa intentata, che include una linea sul sostegno di Sun allo stesso Trump, ha sostenuto che la leadership di World Liberty si fosse impegnata in un "piano illegale per impadronirsi di proprietà" sotto forma di token di Sun, che Sun avrebbe acquistato dopo essere stato sollecitato dal team di World Liberty nel 2024. "In quel momento cruciale per World Liberty, il signor Sun ha investito 45 milioni di dollari per acquistare token $WLFI da World Liberty non solo a causa delle affermazioni del progetto che avrebbe promosso l’adozione della finanza decentralizzata — un tema a cui il signor Sun tiene profondamente e al quale ha dedicato gran parte del lavoro della sua vita — ma anche a causa dell’associazione della famiglia Trump con il progetto", affermava la causa.— Nikhilesh De & Sam Reynolds Leggi di più.

Calendario

• 5-7 maggio 2026: Consensus, Miami
• 2-3 giugno 2026: Prova di Conversazione, Parigi
• 8-10 giugno 2026: ETHConf, New York
• 29 settembre - 1 ottobre 2026: Settimana della Blockchain in Corea, Seoul
• 7-8 ottobre 2026: Token2049, Singapore
• 3-6 novembre 2026: Devcon, Mumbai
• 15-17 novembre 2026: Solana Breakpoint, Londra