Arbitrum fryser $71M i ETH fra Kelp DAO-hack, eftervirkninger vokser

Arbitrum har frosset over $71 millioner i ETH, der er knyttet til Kelp DAO-udnyttelsen, i et forsøg på at begrænse tabene.

Ifølge en tirsdagsopdatering delt af Arbitrum beslaglagde netværkets Security Council 30,766 ETH fra en adresse på Arbitrum One, der var forbundet med weekendens angreb, og overførte dem til en frosset mellemværende tegnebog.

Arbitrum oplyste, at handlingen blev gennemført uden at forstyrre netværket eller påvirke brugeraktivitet. Midlerne forbliver låst, medmindre governance godkender yderligere skridt.

“The Security Council acted with input from law enforcement as to the exploiter’s identity, and, at all times, weighed its commitment to the security and integrity of the Arbitrum community without impacting any Arbitrum users or applications,” teamet oplyste.

Lørdagens brud rettede sig mod Kelp DAO’s LayerZero-drevne bro, hvor angribere udtømte 116,500 rsETH med en værdi på cirka $292 millioner, hvilket gør det til et af de største DeFi-udnyttelser indtil videre i år.

Foreløbige fund fra LayerZero pegede på Nordkoreas Lazarus Group, idet angriberen angiveligt kompromitterede RPC-noder, der bruges af det decentraliserede verificerede netværk.

To noder blev forgiftet, mens en tredje blev ramt af et DDoS-angreb, hvilket gjorde det muligt for en falsk kædeoverskridende meddelelse at passere verifikationen og ulovligt udstede rsETH.

En del af de stjålne aktiver dukkede senere op på Aave V3, hvor angriberen indskød store mængder rsETH som sikkerhed for at låne wrapped ETH, hvilket rejste bekymring om potentiel dårlig gæld i protokollen.

Kelp DAO oplyste, at man handlede hurtigt ved at pause kontrakter og blacklistede tegnebøger forbundet med angriberen, hvilket forhindrede yderligere 40,000 rsETH til en værdi af omkring $95 millioner i at blive tømt.

Strid om sikkerhedsopsætning tilspidser sig

LayerZero har kritiseret Kelp DAO’s brug af en 1-of-1 decentralized verified network-konfiguration og hævder, at den skabte et enkelt fejlpunkt uden uafhængig verifikation.

“LayerZero and other external parties previously communicated best practices around DVN diversification to Kelp DAO,” virksomheden sagde og tilføjede, at projektet “chose to utilize a 1/1 DVN configuration.”

Kelp DAO afviste kritikken og oplyste, at opsætningen ikke var en uafhængig beslutning, men den standardkonfiguration, der blev leveret.

“The 1-of-1 DVN setup is the configuration documented in LayerZero’s documentation and shipped as the default for any new OFT deployment,” sagde Kelp og tilføjede, at arrangementet var blevet “affirmatively confirmed as appropriate” under tidligere drøftelser.

Aave modellerer eftervirkninger, mens tabene breder sig i DeFi

Separate risikovurderinger fra Aave’s økosystempartnere skitserede to mulige udfald afhængig af, hvordan tabene håndteres.

Et scenarie spreder tabene på tværs af alle rsETH-indehavere på tværs af kæder, hvilket fører til omkring $123.7 millioner i dårlig gæld og en cirka 15% depeg i forhold til ETH.

Et andet scenarie isolerer tabene til layer-2-markeder såsom Arbitrum og Mantle, hvor påvirkningen kan stige til $230.1 millioner.

Aave bemærkede, at dets treasury rummer omkring $181 millioner, med yderligere sikkerhedsnet såsom Umbrella-modellen tilgængelig i visse tilfælde. Den endelige udgang afhænger dog af, hvordan Kelp DAO bogfører tabene og justerer sine oracle-priser.

Der er allerede opstået pres på tværs af protokollen, med tæt på $10 milliarder i værdi, der er forladt Aave siden udnyttelsen.

På tidspunktet for offentliggørelsen oplyste Kelp DAO, at man stadig gennemgår hændelsen og arbejder sammen med LayerZero, Aave og andre interessenter om genopretningsplaner og en sikker genoptagelse af driften.