Arbitrum congela $71M in ETH legati all'hack di Kelp DAO mentre la crisi DeFi si aggrava

Arbitrum ha congelato oltre $71 million in ETH legati allo sfruttamento di Kelp DAO nel tentativo di mitigare le perdite.

Secondo un aggiornamento di martedì condiviso da Arbitrum, il Security Council della rete ha sequestrato 30,766 ETH da un indirizzo su Arbitrum One collegato all'attacco del weekend e li ha trasferiti in un wallet intermedio congelato.

Arbitrum ha dichiarato che l'azione è stata eseguita senza interrompere la rete o influire sull'attività degli utenti. I fondi resteranno bloccati a meno che la governance non approvi ulteriori misure.

“The Security Council acted with input from law enforcement as to the exploiter’s identity, and, at all times, weighed its commitment to the security and integrity of the Arbitrum community without impacting any Arbitrum users or applications,” the team said.

La violazione di sabato ha preso di mira il bridge di Kelp DAO basato su LayerZero, dove gli aggressori hanno prosciugato 116,500 rsETH valutati approssimativamente $292 million, rendendolo uno dei più grandi exploit DeFi finora quest'anno.

I risultati preliminari di LayerZero hanno indicato il Lazarus Group della Corea del Nord, con l'attaccante che avrebbe compromesso nodi RPC utilizzati dalla rete verificata decentralizzata.

Due nodi sono stati compromessi mentre un terzo è stato colpito da un attacco DDoS, consentendo a un falso messaggio cross-chain di superare la verifica e coniare rsETH illegittimamente.

Parte di quegli asset rubati è poi riemersa su Aave V3, dove l'exploiter ha depositato grandi quantità di rsETH come collaterale per prendere in prestito wrapped ETH, sollevando preoccupazioni su potenziali debiti in sofferenza nel protocollo.

Kelp DAO ha dichiarato di aver agito rapidamente sospendendo i contratti e inserendo nella lista nera i wallet legati all'attaccante, impedendo che altri 40,000 rsETH, per un valore di circa $95 million, venissero prosciugati.

La disputa sulla configurazione di sicurezza si intensifica

LayerZero ha criticato l'uso da parte di Kelp DAO di una configurazione decentralized verified network 1-of-1, sostenendo che abbia creato un singolo punto di failure senza verifica indipendente.

“LayerZero and other external parties previously communicated best practices around DVN diversification to Kelp DAO,” the firm said, adding that the project “chose to utilize a 1/1 DVN configuration.”

Kelp DAO ha respinto le critiche, affermando che la configurazione non fosse una decisione indipendente ma il settaggio predefinito fornito.

“The 1-of-1 DVN setup is the configuration documented in LayerZero’s documentation and shipped as the default for any new OFT deployment,” Kelp said, adding that the arrangement had been “affirmatively confirmed as appropriate” during earlier discussions.

Aave valuta l'impatto mentre le perdite si propagano nella DeFi

Valutazioni dei rischi separate da partner dell'ecosistema di Aave hanno delineato due possibili scenari a seconda di come verranno gestite le perdite.

Uno scenario distribuisce le perdite tra tutti i detentori di rsETH across chains, portando a circa $123.7 million di debito in sofferenza e a un depeg di circa il 15% rispetto a ETH. 

Un altro scenario isola le perdite ai mercati layer 2 come Arbitrum e Mantle, dove l'impatto potrebbe arrivare a $230.1 million.

Aave ha osservato che la sua tesoreria detiene circa $181 million, con backstop aggiuntivi come il suo Umbrella model disponibili in alcuni casi. Tuttavia, l'esito finale dipende da come Kelp DAO contabilizzerà le perdite e adeguerà il pricing degli oracle.

La pressione si è già manifestata sul protocollo, con quasi $10 billion di valore ritirati da Aave dall'exploit.

Al momento della pubblicazione, Kelp DAO ha detto di stare ancora esaminando l'incidente e di collaborare con LayerZero, Aave e altri stakeholder su piani di recupero e una strada per riprendere le operazioni in sicurezza.