Arbitrum membekukan $71M ETH dalam serangan Kelp DAO ketika kesan DeFi membesar

Arbitrum telah membekukan lebih $71 juta dalam ETH yang berkaitan dengan eksploitasi Kelp DAO sebagai langkah untuk mengurangkan kerugian.

Mengikut kemas kini Selasa yang dikongsi oleh Arbitrum, Majlis Keselamatan rangkaian merampas 30,766 ETH dari satu alamat di Arbitrum One yang dikaitkan dengan serangan hujung minggu lalu dan memindahkannya ke dalam dompet perantara yang dibekukan.

Arbitrum berkata tindakan itu dijalankan tanpa menggangu rangkaian atau menjejaskan aktiviti pengguna. Dana itu akan kekal terkunci melainkan tadbir urus meluluskan langkah selanjutnya.

“Majlis Keselamatan bertindak dengan input daripada pihak penguatkuasaan undang-undang mengenai identiti pengeksploit, dan, pada setiap masa, menimbang komitmennya terhadap keselamatan dan integriti komuniti Arbitrum tanpa memberi kesan kepada mana‑mana pengguna atau aplikasi Arbitrum,” kata pasukan itu.

Pencerobohan hari Sabtu mensasarkan jambatan Kelp DAO yang dikuasakan oleh LayerZero, di mana penyerang mengosongkan 116,500 rsETH bernilai kira‑kira $292 juta, menjadikannya salah satu eksploitasi DeFi terbesar setakat tahun ini.

Penemuan awal daripada LayerZero menunjukkan kepada Lazarus Group Korea Utara, dengan penyerang didakwa telah menjejaskan nod RPC yang digunakan oleh rangkaian sah terdesentralisasi.

Dua nod telah diracun manakala yang ketiga diserang dengan DDoS, membolehkan mesej silang‑rantaian palsu lulus pengesahan dan mencetak rsETH secara tidak sah.

Sebahagian daripada aset yang dicuri itu kemudiannya muncul di Aave V3, di mana pengeksploit memasukkan jumlah besar rsETH sebagai cagaran untuk meminjam wrapped ETH, menimbulkan kebimbangan tentang potensi hutang buruk dalam protokol tersebut.

Kelp DAO berkata ia bertindak segera dengan menggantung kontrak dan menyenarai hitam dompet yang dikaitkan dengan penyerang, menghalang penyaluran tambahan 40,000 rsETH, bernilai kira‑kira $95 juta.

Pertikaian mengenai tetapan keselamatan semakin memuncak

LayerZero mengkritik penggunaan konfigurasi rangkaian sah terdesentralisasi (DVN) 1‑daripada‑1 oleh Kelp DAO, berhujah ia mewujudkan titik kegagalan tunggal tanpa pengesahan bebas.

“LayerZero dan pihak luar lain sebelum ini berkomunikasi amalan terbaik berkaitan pemelbagaian DVN kepada Kelp DAO,” kata firma itu, sambil menambah projek itu “memilih untuk menggunakan konfigurasi DVN 1/1.”

Kelp DAO menangkis, menyatakan bahawa tetapan itu bukan keputusan bebas tetapi konfigurasi lalai yang disediakan.

“Tetapan DVN 1‑daripada‑1 adalah konfigurasi yang didokumenkan dalam dokumentasi LayerZero dan dihantar sebagai lalai bagi sebarang pelaksanaan OFT baharu,” kata Kelp, sambil menambah bahawa susunan itu telah “disahkan secara afirmatif sebagai sesuai” dalam perbincangan terdahulu.

Aave menganggar kesan apabila kerugian merebak di seluruh DeFi

Penilaian risiko berasingan daripada rakan ekosistem Aave menggariskan dua kemungkinan hasil bergantung pada bagaimana kerugian ditangani.

Satu senario mengagihkan kerugian ke seluruh pemegang rsETH merentasi rantaian, menyebabkan kira‑kira $123.7 juta dalam hutang buruk dan penurunan nilai sekitar 15% berbanding ETH.

Senario lain mengasingkan kerugian kepada pasaran layer‑2 seperti Arbitrum dan Mantle, di mana impak boleh meningkat sehingga $230.1 juta.

Aave menyatakan bahawa perbendaharaan mereka memegang sekitar $181 juta, dengan backstop tambahan seperti model Umbrella tersedia dalam keadaan tertentu. Namun, hasil akhir bergantung kepada bagaimana Kelp DAO mengira kerugian dan menyesuaikan harga oracle mereka.

Tekanan telah mula timbul dalam protokol, dengan hampir $10 bilion keluar dari Aave sejak eksploitasi.

Setakat masa penerbitan, Kelp DAO berkata ia masih mengkaji insiden tersebut dan bekerjasama dengan LayerZero, Aave, dan pihak berkepentingan lain mengenai pelan pemulihan dan laluan untuk meneruskan operasi dengan selamat.