Arbitrum bevriest $71M aan ETH na Kelp DAO-hack terwijl DeFi-schade toeneemt

Arbitrum heeft meer dan $71 miljoen aan ETH bevroren die gekoppeld zijn aan de Kelp DAO-exploit om verliezen te beperken.

Volgens een dinsdagupdate gedeeld door Arbitrum heeft de Security Council van het netwerk 30,766 ETH in beslag genomen van een adres op Arbitrum One dat gekoppeld is aan de aanval van het weekend en deze overgeheveld naar een bevroren tussenportemonnee.

Arbitrum zei dat de actie werd uitgevoerd zonder het netwerk te verstoren of de gebruikersactiviteit te beïnvloeden. De fondsen blijven vergrendeld tenzij de governance verdere stappen goedkeurt.

“The Security Council handelde met input van wetshandhavingsinstanties met betrekking tot de identiteit van de exploiter en heeft te allen tijde zijn inzet voor de veiligheid en integriteit van de Arbitrum-gemeenschap afgewogen zonder enige Arbitrum-gebruiker of -applicatie te beïnvloeden,” zei het team.

De inbraak van zaterdag richtte zich op Kelp DAO’s door LayerZero aangedreven bridge, waar aanvallers 116,500 rsETH onttrokken ter waarde van ongeveer $292 miljoen, waarmee het een van de grootste DeFi-exploits tot nu toe dit jaar is.

Voorlopige bevindingen van LayerZero wezen naar Noord-Korea’s Lazarus Group, waarbij de aanvaller naar verluidt RPC-nodes compromitteerde die door het gedecentraliseerde geverifieerde netwerk werden gebruikt. 

Twee nodes werden vergiftigd terwijl een derde werd getroffen door een DDoS-aanval, waardoor een vals cross-chain-bericht door de verificatie kon glippen en rsETH onrechtmatig kon aanmaken.

Een deel van die gestolen activa dook later op in Aave V3, waar de exploiter grote hoeveelheden rsETH als onderpand deponeerde om wrapped ETH te lenen, wat zorgen oproept over potentiële bad debt binnen het protocol.

Kelp DAO zei dat het snel handelde door contracten te pauzeren en wallets die aan de aanvaller gekoppeld waren op een blacklist te zetten, waardoor nog eens 40,000 rsETH ter waarde van ongeveer $95 miljoen werd voorkomen dat ze werden onttrokken.

Geschil over beveiligingsopzet escaleert

LayerZero heeft kritiek geuit op Kelp DAO’s gebruik van een 1-of-1-configuratie voor het gedecentraliseerde geverifieerde netwerk, en stelt dat dit een single point of failure creëerde zonder onafhankelijke verificatie.

“LayerZero en andere externe partijen hebben eerder best practices rond DVN-diversificatie gecommuniceerd aan Kelp DAO,” aldus het bedrijf, en voegde daaraan toe dat het project “keuze had gemaakt voor een 1/1 DVN-configuratie.”

Kelp DAO reageerde en stelde dat de opzet geen onafhankelijke beslissing was maar de standaardconfiguratie die werd geleverd.

“De 1-of-1 DVN-opzet is de configuratie die is gedocumenteerd in LayerZero’s documentatie en als standaard wordt meegeleverd bij elke nieuwe OFT-deploy,” zei Kelp, en voegde toe dat de regeling eerder tijdens discussies “actief als passend was bevestigd.”

Aave modelleert naschokken terwijl verliezen door DeFi zich verspreiden

Afzonderlijke risicoanalyses van Aave’s ecosysteempartners schetsten twee mogelijke uitkomsten, afhankelijk van hoe de verliezen worden afgehandeld.

Het ene scenario spreidt de verliezen over alle rsETH-houders over ketens heen, wat leidt tot ongeveer $123.7 miljoen aan bad debt en een ruwweg 15% depeg ten opzichte van ETH. 

Een ander scenario isoleert de verliezen tot layer‑2-markten zoals Arbitrum en Mantle, waar de impact kan oplopen tot $230.1 miljoen.

Aave merkte op dat zijn schatkist ongeveer $181 miljoen aanhoudt, met aanvullende backstops zoals het Umbrella-model in bepaalde gevallen beschikbaar. De uiteindelijke uitkomst hangt echter af van hoe Kelp DAO de verliezen boekt en zijn oracle-prijzen aanpast.

Er is al druk zichtbaar binnen het protocol, met bijna $10 miljard aan waarde die Aave heeft verlaten sinds de exploit.

Op het moment van publicatie zei Kelp DAO dat het het incident nog onderzoekt en samenwerkt met LayerZero, Aave en andere belanghebbenden aan herstelplannen en een route om de operaties veilig te hervatten.