Arbitrum zamraża $71M w ETH po hacku Kelp DAO — skutki DeFi rosną

Arbitrum zamroził ponad $71 million w ETH powiązanych z atakiem na Kelp DAO, aby ograniczyć straty.

Zgodnie z aktualizacją z wtorku udostępnioną przez Arbitrum, Rada Bezpieczeństwa sieci zabezpieczyła 30,766 ETH z adresu na Arbitrum One powiązanego z weekendowym atakiem i przelała je do zamrożonego portfela pośredniczącego.

Arbitrum poinformował, że działanie zostało przeprowadzone bez zakłócania sieci ani wpływu na aktywność użytkowników. Środki pozostaną zablokowane, chyba że governance zatwierdzi dalsze kroki.

„Rada Bezpieczeństwa działała przy uwzględnieniu informacji od organów ścigania dotyczących tożsamości exploitera i przez cały czas ważyła swoje zobowiązanie wobec bezpieczeństwa i integralności społeczności Arbitrum, nie wpływając przy tym na żadnych użytkowników ani aplikacje Arbitrum” — podał zespół.

Naruszenie z soboty dotyczyło mostu Kelp DAO napędzanego przez LayerZero, gdzie atakujący wyprowadzili 116,500 rsETH o wartości około $292 million, co czyni to jednym z największych exploitów DeFi w tym roku.

Wstępne ustalenia od LayerZero wskazywały na Lazarus Group z Korei Północnej, przy czym jak doniesiono atakujący przejął węzły RPC używane przez zdecentralizowaną zweryfikowaną sieć.

Dwa węzły zostały zatrute, a trzeci został zaatakowany DDoS, co pozwoliło fałszywej wiadomości cross-chain przejść weryfikację i nielegalnie wygenerować rsETH.

Część tych skradzionych aktywów później pojawiła się na Aave V3, gdzie atakujący zdeponował duże ilości rsETH jako zabezpieczenie, aby pożyczyć wrapped ETH, wywołując obawy o potencjalne złe długi w protokole.

Kelp DAO podał, że zareagował szybko, wstrzymując kontrakty i umieszczając na czarnej liście portfele powiązane z atakującym, zapobiegając wypływowi dodatkowych 40,000 rsETH o wartości około $95 million.

Spór o konfigurację zabezpieczeń nasila się

LayerZero skrytykował użycie przez Kelp DAO konfiguracji zdecentralizowanej zweryfikowanej sieci 1-of-1, argumentując, że stworzyło to pojedynczy punkt awarii bez niezależnej weryfikacji.

„LayerZero i inne podmioty zewnętrzne wcześniej przekazywały Kelp DAO najlepsze praktyki dotyczące dywersyfikacji DVN” — podała firma, dodając, że projekt „zdecydował się na wykorzystanie konfiguracji 1/1 DVN”.

Kelp DAO odparł zarzuty, stwierdzając, że ustawienie nie było niezależną decyzją, lecz domyślną konfiguracją udostępnioną przez dostawcę.

„Konfiguracja 1-of-1 DVN jest opisana w dokumentacji LayerZero i dostarczana jako domyślna dla każdej nowej implementacji OFT” — podało Kelp, dodając, że rozwiązanie zostało „jednoznacznie potwierdzone jako odpowiednie” podczas wcześniejszych dyskusji.

Aave modeluje skutki, gdy straty rozchodzą się po DeFi

Oddzielne oceny ryzyka od partnerów ekosystemu Aave przedstawiły dwa możliwe scenariusze w zależności od sposobu rozliczenia strat.

W jednym scenariuszu straty są rozłożone na wszystkich posiadaczy rsETH w wielu łańcuchach, prowadząc do około $123.7 million złych długów i około 15% odłączenia od ETH.

Inny scenariusz izoluje straty do rynków warstwy 2, takich jak Arbitrum i Mantle, gdzie wpływ może wzrosnąć do $230.1 million.

Aave zauważył, że jego skarbiec trzyma około $181 million, z dodatkowymi zabezpieczeniami, takimi jak model Umbrella, dostępnymi w niektórych przypadkach. Ostateczny wynik zależy jednak od tego, jak Kelp DAO rozliczy straty i dostosuje wyceny oracle.

Presja już pojawiła się w całym protokole — z blisko $10 billion wartości wypłynęło z Aave od czasu exploita.

W chwili publikacji Kelp DAO poinformował, że nadal analizuje incydent i współpracuje z LayerZero, Aave oraz innymi interesariuszami nad planami odzyskania środków i drogą do bezpiecznego wznowienia działalności.