Arbitrum zmrazil $71M v ETH z hacku Kelp DAO, DeFi dopady rostou

Arbitrum zmrazil přes $71 million v ETH spojených s exploitací Kelp DAO v snaze omezit ztráty.

Podle úterní aktualizace sdílené Arbitrem bezpečnostní rada srazila 30,766 ETH z adresy na Arbitrum One spojené s víkendovým útokem a převedla je do zmrazené mezilehlé peněženky.

Arbitrum uvedl, že akce byla provedena bez narušení sítě nebo ovlivnění aktivity uživatelů. Prostředky zůstanou uzamčeny, pokud správa neschválí další kroky.

„Bezpečnostní rada jednala za přispění orgánů činných v trestním řízení ohledně identity exploatera a po celou dobu zvažovala svůj závazek k bezpečnosti a integritě komunity Arbitrum, aniž by to mělo dopad na uživatele či aplikace Arbitrum,“ uvedl tým.

Sobotní průnik cílil na most Kelp DAO poháněný LayerZero, kde útočníci odčerpanili 116,500 rsETH oceněných na přibližně $292 million, což z něj dělá jednu z největších DeFi exploitací letošního roku.

Předběžná zjištění od LayerZero ukazovala na severokorejskou skupinu Lazarus, přičemž útočník podle zpráv kompromitoval RPC uzly používané decentralizovanou ověřenou sítí.

Dva uzly byly „poisoned“, zatímco třetí byl zasažen DDoS útokem, což umožnilo falešné meziřetězcové zprávě projít ověřením a illegálně vygenerovat rsETH.

Část ukradených aktiv se později objevila na Aave V3, kde exploiter vložil velké množství rsETH jako kolaterál k vypůjčení wrapped ETH, což vyvolalo obavy z možného špatného dluhu napříč protokolem.

Kelp DAO uvedl, že jednal rychle: pozastavil kontrakty a zařadil do blacklistu peněženky spojené s útočníkem, čímž zabránil dalším 40,000 rsETH v hodnotě přibližně $95 million v odčerpání.

Spor o bezpečnostní nastavení sílí

LayerZero kritizoval použití 1-of-1 konfigurace decentralizované ověřené sítě (DVN) u Kelp DAO a tvrdí, že to vytvořilo jediné místo selhání bez nezávislého ověření.

„LayerZero a další externí subjekty dříve komunikovaly osvědčené postupy týkající se diverzifikace DVN vůči Kelp DAO,“ uvedla firma a dodala, že projekt „se rozhodl využít 1/1 DVN konfiguraci.“

Kelp DAO na to reagoval s tím, že konfigurace nebylo nezávislé rozhodnutí, ale výchozí nastavení, které bylo poskytnuto.

„Nastavení 1-of-1 DVN je konfigurace dokumentovaná v dokumentaci LayerZero a dodávaná jako výchozí pro jakékoliv nové nasazení OFT,“ uvedl Kelp a doplnil, že toto uspořádání bylo během dřívějších diskuzí „výslovně potvrzeno jako vhodné.“

Aave modeluje dopady, zatímco ztráty se šíří v DeFi

Samostatná hodnocení rizik od partnerů v ekosystému Aave nastínila dva možné scénáře v závislosti na tom, jak budou ztráty ošetřeny.

Jeden scénář rozloží ztráty mezi všechny držitele rsETH napříč řetězci, což by vedlo k přibližně $123.7 million špatného dluhu a zhruba 15% odpojení od ETH.

Druhý scénář izoluje ztráty na trhy layer 2, jako jsou Arbitrum a Mantle, kde by dopad mohl vystoupat až na $230.1 million.

Aave poznamenal, že jeho treasury drží přibližně $181 million, s dalšími pojistkami jako model Umbrella dostupnými v určitých případech. Konečný výsledek nicméně závisí na tom, jak Kelp DAO zaúčtuje ztráty a upraví ceny podle oracle.

Tlak se už projevil napříč protokolem: z Aave odteklo téměř $10 billion hodnoty od doby exploitu.

K v čase publikace Kelp DAO uvedl, že incident stále přezkoumává a spolupracuje s LayerZero, Aave a dalšími zúčastněnými stranami na plánech obnovy a cestě k bezpečnému obnovení provozu.