Arbitrum congela $71M em ETH após hack da Kelp DAO; repercussão no DeFi cresce

Arbitrum congelou mais de $71 million em ETH ligados à exploração da Kelp DAO numa tentativa de mitigar perdas.

De acordo com uma atualização de terça-feira compartilhada pela Arbitrum, o Conselho de Segurança da rede reteve 30,766 ETH de um endereço no Arbitrum One ligado ao ataque do fim de semana e os transferiu para uma carteira intermediária congelada.

A Arbitrum afirmou que a ação foi realizada sem interromper a rede ou afetar a atividade dos usuários. Os fundos permanecerão bloqueados a menos que a governança aprove quaisquer medidas adicionais.

“O Conselho de Segurança agiu com contribuições das autoridades quanto à identidade do atacante e, em todos os momentos, ponderou seu compromisso com a segurança e a integridade da comunidade Arbitrum sem impactar quaisquer usuários ou aplicações da Arbitrum”, disse a equipe.

A violação de sábado teve como alvo a ponte alimentada pela LayerZero da Kelp DAO, onde os atacantes drenaram 116,500 rsETH avaliados em cerca de $292 million, tornando-se um dos maiores exploits DeFi até agora este ano.

Achados preliminares da LayerZero apontaram para o Lazarus Group, da Coreia do Norte, com relatos de que o atacante comprometeu nós RPC usados pela rede verificada descentralizada. 

Dois nós foram envenenados enquanto um terceiro sofreu um ataque DDoS, permitindo que uma mensagem cross-chain falsa passasse pela verificação e cunhasse rsETH de forma ilegítima.

Parte desses ativos roubados posteriormente apareceu na Aave V3, onde o explorador depositou grandes quantidades de rsETH como colateral para tomar emprestado wrapped ETH, levantando preocupações sobre potencial dívida incobrável no protocolo.

A Kelp DAO afirmou que agiu rapidamente, pausando contratos e colocando na lista negra carteiras ligadas ao atacante, impedindo que mais 40,000 rsETH, no valor de cerca de $95 million, fossem drenados.

Disputa sobre configuração de segurança se intensifica

A LayerZero criticou o uso, pela Kelp DAO, de uma configuração 1-of-1 de rede verificada descentralizada, argumentando que isso criou um ponto único de falha sem verificação independente.

“A LayerZero e outras partes externas anteriormente comunicaram as melhores práticas sobre diversificação de DVN à Kelp DAO”, disse a empresa, acrescentando que o projeto “optou por utilizar uma configuração DVN 1/1”.

A Kelp DAO rebateu, afirmando que a configuração não foi uma decisão independente, mas a configuração padrão fornecida.

“A configuração DVN 1-of-1 é a configuração documentada na documentação da LayerZero e enviada como padrão para qualquer novo deploy de OFT”, disse a Kelp, acrescentando que o arranjo foi “afirmativamente confirmado como apropriado” durante discussões anteriores.

Aave modela repercussões enquanto perdas se espalham pelo DeFi

Avaliações de risco separadas de parceiros do ecossistema da Aave delinearam dois possíveis desfechos dependendo de como as perdas forem tratadas.

Um cenário distribui as perdas entre todos os detentores de rsETH across chains, levando a cerca de $123.7 million em dívida incobrável e a uma desvinculação de aproximadamente 15% em relação ao ETH. 

Outro cenário isola as perdas a mercados layer 2 como Arbitrum e Mantle, onde o impacto poderia subir para $230.1 million.

A Aave observou que sua tesouraria detém cerca de $181 million, com backstops adicionais como seu modelo Umbrella disponíveis em determinados casos. Ainda assim, o resultado final depende de como a Kelp DAO contabiliza as perdas e ajusta o pricing do oráculo.

Pressão já se manifestou em todo o protocolo, com quase $10 billion em valor saindo da Aave desde o exploit.

No momento da publicação, a Kelp DAO disse que ainda está revisando o incidente e trabalhando com a LayerZero, a Aave e outros interessados em planos de recuperação e em um caminho para retomar operações de forma segura.