Arbitrum jäädyttää 71 miljoonan dollarin ETH:n Kelp DAO -hyökkäyksessä

Arbitrum on jäädyttänyt yli 71 miljoonan dollarin arvosta ETH:ta, jotka liittyvät Kelp DAO -hyökkäykseen, pyrkiessään rajoittamaan tappioita.

Arbitrumin jakamaan tiistain päivitykseen viitaten verkon turvallisuusneuvosto takavarikoi 30,766 ETH osoitteesta Arbitrum One -verkossa, joka liitettiin viikonlopun hyökkäykseen, ja siirsi ne jäädytettyyn välilompakkoon.

Arbitrum kertoi, että toimenpide tehtiin ilman verkon häiriöitä tai käyttäjätoiminnan vaikutuksia. Varat pysyvät lukittuina, ellei hallinto hyväksy jatkotoimia.

”Turvallisuusneuvosto toimi lainvalvonnan antaman tiedon pohjalta hyökkääjän henkilöllisyydestä ja arvioi koko ajan sitoutumistaan Arbitrum-yhteisön turvallisuuteen ja eheyteen vaikuttamatta yhtään Arbitrum-käyttäjää tai sovellusta”, tiimi sanoi.

Lauantain murtautuminen kohdistui Kelp DAO:n LayerZero-vetoiseen siltaan, jossa hyökkääjät tyhjensivät 116,500 rsETH:ta, jonka arvo oli noin 292 miljoonaa dollaria, tehden siitä yhden suurimmista DeFi-hyökkäyksistä tänä vuonna.

LayerZero'n alustavat havainnot viittasivat Pohjois-Korean Lazarus-ryhmään, ja hyökkääjän kerrottiin kompromettoineen hajautetun varmennetun verkon käyttämät RPC-solmut. 

Kaksi solmua myrkytettiin, kun taas kolmas kärsi DDoS-hyökkäyksestä, mikä mahdollisti väärennetyn ketjujenvälisen viestin läpäisemään varmennuksen ja rsETH:n laittoman minttauksen.

Osa varastetuista varoista ilmestyi myöhemmin Aave V3:ssa, missä hyökkääjä tallettivat suuria määriä rsETH:ta vakuudeksi lainatakseen käärittyä ETH:ta, herättäen huolta mahdollisesta huonosta velasta protokollassa.

Kelp DAO kertoi toimineensa nopeasti pysäyttämällä sopimuksia ja mustaamalla hyökkääjään liitetyt lompakot, mikä esti lisästä noin 40,000 rsETH:ta, arvoltaan noin 95 miljoonaa dollaria, joutumasta varastetuiksi.

Kiista turvallisuusasetuksista kärjistyy

LayerZero on arvostellut Kelp DAO:n 1-of-1-hajautetun varmennetun verkon (DVN) käyttöä ja katsonut, että se loi riippumattoman varmennuksen puuttuessa yksittäisen vianpisteen.

”LayerZero ja muut ulkopuoliset osapuolet ovat aiemmin kommunikoineet Kelp DAO:lle parhaita käytäntöjä DVN:n monipuolistamisesta”, yhtiö sanoi ja lisäsi, että projekti ”valitsi käyttää 1/1 DVN -konfiguraatiota”.

Kelp DAO vastasi, että asetus ei ollut itsenäinen päätös vaan toimitettu oletuskonfiguraatio.

”1-of-1 DVN -asetus on LayerZero’n dokumentaatiossa kuvattu konfiguraatio ja se toimitetaan oletuksena mille tahansa uudelle OFT-jakelulle”, Kelp sanoi ja lisäsi, että järjestely oli aikaisemmissa keskusteluissa ”selvästi vahvistettu sopivaksi”.

Aave mallintaa seurauksia, tappiot heijastuvat DeFiin

Erilliset riskinarvioinnit Aaven ekosysteemikumppaneilta kuvasivat kahta mahdollista lopputulemaa riippuen siitä, miten tappiot käsitellään.

Yksi skenaario jakaa tappiot kaikille rsETH-haltijoille ketjujen välillä, mikä johtaisi noin 123,7 miljoonan dollarin huonoon velkaan ja noin 15 %:n depeggaukseen ETH:sta. 

Toinen skenaario eristää tappiot layer 2 -markkinoille kuten Arbitrum ja Mantle, missä vaikutus voisi nousta 230,1 miljoonaan dollariin.

Aave totesi, että sen kassa pitää hallussaan noin 181 miljoonaa dollaria, ja lisäturvina on käytettävissä malleja kuten Umbrella tietyissä tapauksissa. Lopullinen lopputulos riippuu kuitenkin siitä, miten Kelp DAO kirjaa tappiot ja säätää oracle-hinnoitteluaan.

Paineita on jo ilmennyt protokollassa: lähes 10 miljardin dollarin arvosta arvoa on poistunut Aavesta hyökkäyksen jälkeen.

Julkaisuhetkellä Kelp DAO kertoi yhä tutkivansa tapausta ja tekevänsä yhteistyötä LayerZero:n, Aaven ja muiden sidosryhmien kanssa palautussuunnitelmissa ja turvallisessa toiminnan jatkamisessa.