Arbitrum fryser $71M i ETH etter Kelp DAO-hack mens DeFi-konsekvenser vokser

Arbitrum har fryst over $71 million i ETH knyttet til Kelp DAO-exploiten i et forsøk på å begrense tap.

Ifølge en tirsdagsoppdatering delt av Arbitrum, beslagla nettverkets Security Council 30,766 ETH fra en adresse på Arbitrum One knyttet til helgens angrep og overførte dem til en fryst mellomliggende lommebok.

Arbitrum opplyste at tiltaket ble gjennomført uten å forstyrre nettverket eller påvirke brukeratferd. Midlene vil forbli låst med mindre styringen godkjenner videre tiltak.

“Security Council handlet med innspill fra rettshåndhevelse angående angriperens identitet, og vurderte til enhver tid sitt ansvar for sikkerhet og integritet i Arbitrum-fellesskapet uten å påvirke noen Arbitrum-brukere eller applikasjoner,” skrev teamet.

Lørdagens brudd rettet seg mot Kelp DAO sin LayerZero-drevne bro, der angripere tappet 116,500 rsETH verdsatt til omtrent $292 million, noe som gjør det til ett av årets største DeFi-exploits så langt.

Foreløpige funn fra LayerZero peker på Nord-Koreas Lazarus Group, der angriperen angivelig kompromitterte RPC-noder brukt av det desentraliserte verifiserte nettverket. 

To noder ble forgiftet mens en tredje ble utsatt for et DDoS-angrep, noe som tillot en falsk cross-chain-melding å passere verifisering og prege rsETH ulovlig.

Deler av de stjålne eiendelene dukket senere opp på Aave V3, hvor angriperen satte inn store mengder rsETH som sikkerhet for å låne wrapped ETH, noe som reiste bekymring for mulig tapsgjeld i protokollen.

Kelp DAO sa at de handlet raskt ved å pause kontrakter og svarteliste lommebøker knyttet til angriperen, og dermed forhindret at ytterligere 40,000 rsETH, verdt rundt $95 million, ble tappet.

Dispute over security setup intensifies

LayerZero har kritisert Kelp DAO sin bruk av en 1-av-1 desentralisert verifisert nettverkskonfigurasjon, og hevder at det skapte et enkelt feilpunkt uten uavhengig verifisering.

“LayerZero og andre eksterne parter kommuniserte tidligere beste praksis rundt DVN-diversifisering til Kelp DAO,” uttalte selskapet, og la til at prosjektet “valgte å bruke en 1/1 DVN-konfigurasjon.”

Kelp DAO avviste kritikken og uttalte at oppsettet ikke var en uavhengig beslutning, men standardkonfigurasjonen som ble levert.

“1-av-1 DVN-oppsettet er konfigurasjonen dokumentert i LayerZero sin dokumentasjon og levert som standard for enhver ny OFT-distribusjon,” sa Kelp, og la til at ordningen hadde blitt “bemerkelsesverdig bekreftet som passende” under tidligere diskusjoner.

Aave models fallout as losses ripple across DeFi

Separate risikovurderinger fra Aaves økosystempartnere skisserte to mulige utfall avhengig av hvordan tapene håndteres.

Et scenario sprer tapene over alle rsETH-holdere på tvers av kjeder, noe som fører til cirka $123.7 million i tapsgjeld og en om lag 15% avkobling fra ETH. 

Et annet scenario isolerer tapene til layer 2-markeder som Arbitrum og Mantle, hvor virkningen kan stige til $230.1 million.

Aave bemerket at deres treasury innehar rundt $181 million, med tilleggssikringer som Umbrella-modellen tilgjengelig i visse tilfeller. Likevel avhenger det endelige utfallet av hvordan Kelp DAO fører tapene og justerer sine oracle-priser.

Presset har allerede vist seg i protokollen, med nær $10 billion i verdi som har forlatt Aave siden exploiten.

Per tidspunktet for publisering sa Kelp DAO at de fortsatt vurderer hendelsen og samarbeider med LayerZero, Aave og andre interessenter om gjenopprettingsplaner og en vei for trygg gjenopptakelse av drift.