Arbitrum gèle $71M d'ETH liés au piratage de Kelp DAO

Arbitrum a gelé plus de $71 million d'ETH liés à l'exploit de Kelp DAO dans le but de limiter les pertes.

Selon une mise à jour de mardi partagée par Arbitrum, le Conseil de sécurité du réseau a saisi 30,766 ETH depuis une adresse sur Arbitrum One liée à l'attaque du week-end et les a transférés dans un portefeuille intermédiaire gelé.

Arbitrum a indiqué que l'action a été menée sans perturber le réseau ni affecter l'activité des utilisateurs. Les fonds resteront bloqués sauf si la gouvernance approuve d'autres mesures.

« Le Conseil de sécurité a agi avec l'apport des forces de l'ordre quant à l'identité de l'exploitant et, à tout moment, a pesé son engagement en faveur de la sécurité et de l'intégrité de la communauté Arbitrum sans impacter les utilisateurs ou applications Arbitrum », a déclaré l'équipe.

La brèche de samedi visait le pont de Kelp DAO propulsé par LayerZero, où les attaquants ont drainé 116,500 rsETH évalués à environ $292 million, faisant de l'incident l'un des plus importants exploits DeFi cette année.

Les premières conclusions de LayerZero ont pointé vers le groupe Lazarus de la Corée du Nord, l'attaquant ayant apparemment compromis des nœuds RPC utilisés par le réseau vérifié décentralisé.

Deux nœuds ont été empoisonnés tandis qu'un troisième a subi une attaque DDoS, permettant à un faux message inter-chaînes de passer la vérification et de frapper des rsETH de manière illégitime.

Une partie des actifs volés est ensuite apparue sur Aave V3, où l'exploitant a déposé d'importantes quantités de rsETH en garantie pour emprunter du wrapped ETH, suscitant des inquiétudes concernant d'éventuelles créances douteuses au sein du protocole.

Kelp DAO a indiqué avoir agi rapidement en suspendant des contrats et en mettant sur liste noire des portefeuilles liés à l'attaquant, empêchant le drainage supplémentaire de 40,000 rsETH, d'une valeur d'environ $95 million.

Le différend sur la configuration de sécurité s'intensifie

LayerZero a critiqué l'utilisation par Kelp DAO d'une configuration 1/1 du réseau vérifié décentralisé (DVN), estimant qu'elle créait un point de défaillance unique sans vérification indépendante.

« LayerZero et d'autres parties externes ont précédemment communiqué les bonnes pratiques autour de la diversification des DVN à Kelp DAO », a déclaré la société, ajoutant que le projet « a choisi d'utiliser une configuration DVN 1/1 ».

Kelp DAO a répliqué en affirmant que la configuration n'était pas une décision indépendante mais la configuration par défaut fournie.

« La configuration DVN 1/1 est la configuration documentée dans la documentation de LayerZero et fournie par défaut pour tout nouveau déploiement OFT », a déclaré Kelp, ajoutant que l'arrangement avait été « confirmé de manière affirmative comme approprié » lors de discussions antérieures.

Aave modélise les retombées alors que les pertes se propagent dans la DeFi

Des évaluations de risque séparées des partenaires de l'écosystème d'Aave décrivent deux issues possibles selon la manière dont les pertes sont traitées.

Un scénario répartit les pertes entre tous les détenteurs de rsETH sur plusieurs chaînes, entraînant environ $123.7 million de créances douteuses et un décrochage d'environ 15% par rapport à l'ETH.

Un autre scénario isole les pertes aux marchés layer 2 comme Arbitrum et Mantle, où l'impact pourrait atteindre $230.1 million.

Aave a noté que sa trésorerie détient environ $181 million, avec des filets supplémentaires tels que son modèle Umbrella disponibles dans certains cas. Toutefois, l'issue finale dépend de la manière dont Kelp DAO comptabilise les pertes et ajuste ses prix d'oracle.

La pression s'est déjà manifestée sur le protocole, près de $10 billion de valeur ayant quitté Aave depuis l'exploit.

Au moment de la publication, Kelp DAO a déclaré qu'il examinait toujours l'incident et travaillait avec LayerZero, Aave et d'autres parties prenantes sur des plans de récupération et une voie pour reprendre les opérations en toute sécurité.