Arbitrum παγώνει $71 εκατ. σε ETH από το hack του Kelp DAO καθώς επιδεινώνεται το DeFi

Η Arbitrum πάγωσε πάνω από $71 εκατ. σε ETH που σχετίζονται με την εκμετάλλευση του Kelp DAO σε προσπάθεια να περιορίσει τις ζημίες.

Σύμφωνα με μια ενημέρωση της Τρίτης που κοινοποίησε η Arbitrum, το Συμβούλιο Ασφαλείας του δικτύου κατάσχεσε 30,766 ETH από μια διεύθυνση στο Arbitrum One που σχετίζεται με την επίθεση του Σαββατοκύριακου και τα μετέφερε σε ένα παγωμένο ενδιάμεσο πορτοφόλι.

Η Arbitrum δήλωσε ότι η ενέργεια πραγματοποιήθηκε χωρίς να διαταραχθεί το δίκτυο ή να επηρεαστεί η δραστηριότητα των χρηστών. Τα κεφάλαια θα παραμείνουν κλειδωμένα εκτός εάν η διακυβέρνηση εγκρίνει περαιτέρω ενέργειες.

“Το Συμβούλιο Ασφαλείας ενήργησε με εισροές από τις διωκτικές αρχές σχετικά με την ταυτότητα του εκμεταλλευτή και, σε όλες τις στιγμές, αξιολόγησε τη δέσμευσή του για την ασφάλεια και την ακεραιότητα της κοινότητας Arbitrum χωρίς να επηρεάσει χρήστες ή εφαρμογές της Arbitrum,” ανέφερε η ομάδα.

Η παραβίαση του Σαββάτου στόχευσε τη γέφυρα του Kelp DAO που βασίζεται στο LayerZero, όπου οι επιτιθέμενοι άδειασαν 116,500 rsETH αξίας περίπου $292 εκατ., καθιστώντας την μία από τις μεγαλύτερες επιθέσεις στο DeFi μέχρι στιγμής φέτος.

Προκαταρκτικά ευρήματα από την LayerZero έδειξαν προς την Lazarus Group της Βόρειας Κορέας, με τον εισβολέα να φέρεται να διείσδυσε σε RPC nodes που χρησιμοποιεί το αποκεντρωμένο επαληθευμένο δίκτυο. 

Δύο κόμβοι δηλητηριάστηκαν ενώ ένας τρίτος δέχτηκε επίθεση DDoS, επιτρέποντας σε ένα ψεύτικο cross-chain μήνυμα να περάσει επαλήθευση και να δημιουργηθεί rsETH παράνομα.

Μέρος των κλαπέντων περιουσιακών στοιχείων εμφανίστηκε αργότερα στο Aave V3, όπου ο εκμεταλλευτής κατέθεσε μεγάλες ποσότητες rsETH ως εξασφάλιση για να δανειστεί wrapped ETH, εγείροντας ανησυχίες για πιθανό κακό χρέος σε όλο το πρωτόκολλο.

Το Kelp DAO δήλωσε ότι ενήργησε γρήγορα παγώνοντας συμβόλαια και βάζοντας σε μαύρη λίστα πορτοφόλια συνδεόμενα με τον επιτιθέμενο, αποτρέποντας την απώλεια επιπλέον 40,000 rsETH, αξίας περίπου $95 εκατ.

Οξεία διαμάχη για τη ρύθμιση ασφάλειας

Η LayerZero επέκρινε τη χρήση από το Kelp DAO μιας διαμόρφωσης DVN 1-of-1, υποστηρίζοντας ότι δημιούργησε ένα μοναδικό σημείο αποτυχίας χωρίς ανεξάρτητη επαλήθευση.

“Η LayerZero και άλλα εξωτερικά μέρη είχαν προηγουμένως επικοινωνήσει βέλτιστες πρακτικές σχετικά με τη διαφοροποίηση του DVN προς το Kelp DAO,” δήλωσε η εταιρεία, προσθέτοντας ότι το έργο “επέλεξε να χρησιμοποιήσει μια διαμόρφωση DVN 1/1.”

Το Kelp DAO αντέτεινε ότι η ρύθμιση δεν ήταν ανεξάρτητη απόφαση αλλά η προεπιλεγμένη διαμόρφωση που παρεχόταν.

“Η διαμόρφωση DVN 1-of-1 είναι η ρύθμιση που τεκμηριώνεται στην τεκμηρίωση της LayerZero και αποστέλλεται ως προεπιλογή για κάθε νέα ανάπτυξη OFT,” δήλωσε το Kelp, προσθέτοντας ότι η ρύθμιση είχε “επιβεβαιωθεί ρητά ως κατάλληλη” κατά τη διάρκεια προηγούμενων συζητήσεων.

Η Aave προσομοιώνει τις επιπτώσεις καθώς οι ζημίες διαχέονται στο DeFi

Ξεχωριστές εκτιμήσεις κινδύνου από τους συνεργάτες του οικοσυστήματος της Aave περιέγραψαν δύο ενδεχόμενα αποτελέσματα ανάλογα με το πώς θα αντιμετωπιστούν οι ζημίες.

Ένα σενάριο κατανέμει τις ζημίες σε όλους τους κατόχους rsETH σε όλα τα chains, οδηγώντας σε περίπου $123.7 εκατ. κακού χρέους και σε μια περίπου 15% αποσύνδεση (depeg) από το ETH. 

Ένα άλλο σενάριο περιορίζει τις ζημίες στις αγορές layer 2 όπως Arbitrum και Mantle, όπου ο αντίκτυπος θα μπορούσε να ανέλθει σε $230.1 εκατ.

Η Aave σημείωσε ότι το ταμείο της διατηρεί περίπου $181 εκατ., με επιπλέον μηχανισμούς στήριξης όπως το μοντέλο Umbrella διαθέσιμα σε ορισμένες περιπτώσεις. Παρ' όλα αυτά, το τελικό αποτέλεσμα εξαρτάται από το πώς το Kelp DAO θα καταγράψει τις ζημίες και θα προσαρμόσει την τιμολόγηση του oracle.

Η πίεση έχει ήδη εμφανιστεί σε όλο το πρωτόκολλο, με σχεδόν $10 δισ. αξίας να έχουν εγκαταλείψει την Aave από το exploit.

Κατά τον χρόνο δημοσίευσης, το Kelp DAO δήλωσε ότι εξακολουθεί να εξετάζει το περιστατικό και συνεργάζεται με την LayerZero, την Aave και άλλους ενδιαφερόμενους για σχέδια ανάκτησης και ένα μονοπάτι για την ασφαλή επανέναρξη των λειτουργιών.