Arbitrum fryser $71M i ETH efter Kelp DAO‑hack när DeFi‑effekterna växer

Arbitrum har fryst över $71 miljoner i ETH kopplat till Kelp DAO‑exploiten i ett försök att begränsa förlusterna.

Enligt en tisdagens uppdatering från Arbitrum tog nätverkets säkerhetsråd beslag på 30,766 ETH från en adress på Arbitrum One som kopplats till helgens attack och förde medlen till en fryst mellanliggande plånbok.

Arbitrum uppgav att åtgärden genomfördes utan att störa nätverket eller påverka användaraktivitet. Medlen kommer förbli låsta om inte governance godkänner ytterligare åtgärder.

”Säkerhetsrådet agerade med input från rättsvårdande myndigheter avseende exploatörens identitet och vägde vid samtliga tillfällen sitt åtagande för säkerheten och integriteten i Arbitrum‑gemenskapen utan att påverka några Arbitrum‑användare eller applikationer,” skrev teamet.

Helgens intrång riktade sig mot Kelp DAO:s LayerZero‑drivna bro, där angriparna dränerade 116,500 rsETH värderade till ungefär $292 miljoner, vilket gör det till en av årets största DeFi‑exploateringar hittills.

Preliminära fynd från LayerZero pekade på den nordkoreanska Lazarus‑gruppen, där angriparen enligt uppgift komprometterade RPC‑noder som används av det decentraliserade verifierade nätverket. 

Två noder förgiftades medan en tredje utsattes för en DDoS‑attack, vilket gjorde det möjligt för ett falskt cross‑chain‑meddelande att passera verifiering och illegitimt mynta rsETH.

En del av de stulna tillgångarna dök senare upp på Aave V3, där exploatören deponerade stora mängder rsETH som säkerhet för att låna wrapped ETH, vilket väckte oro för potentiella dåliga fordringar i protokollet.

Kelp DAO uppgav att man agerade snabbt genom att pausa kontrakt och svartlista plånböcker kopplade till angriparen, vilket förhindrade att ytterligare 40,000 rsETH, värda omkring $95 miljoner, dränerades.

Tvist om säkerhetsuppsättning trappas upp

LayerZero har kritiserat Kelp DAO:s användning av en 1‑av‑1‑konfiguration för det decentraliserade verifierade nätverket (DVN) och hävdat att den skapade en enda felpunkt utan oberoende verifiering.

”LayerZero och andra externa parter kommunicerade tidigare bästa praxis kring DVN‑diversifiering till Kelp DAO,” skrev företaget och tillade att projektet ”valde att använda en 1/1 DVN‑konfiguration.”

Kelp DAO bemötte kritiken med att uppsättningen inte var ett oberoende beslut utan den standardkonfiguration som levererades.

”1‑av‑1 DVN‑uppsättningen är den konfiguration som dokumenteras i LayerZero:s dokumentation och levereras som standard för alla nya OFT‑distribueringar,” sade Kelp och tillade att arrangemanget tidigare ”bekräftats som lämpligt” under tidigare diskussioner.

Aave modellerar efterverkningar när förluster sprider sig över DeFi

Separata riskbedömningar från Aaves ekosystempartners beskrev två möjliga utfall beroende på hur förlusterna hanteras.

Det ena scenariot sprider förluster över alla rsETH‑innehavare över kedjor, vilket leder till cirka $123.7 miljoner i dåliga fordringar och en ungefärlig 15% avvikelse (depeg) från ETH. 

Ett annat scenario isolerar förluster till layer‑2‑marknader som Arbitrum och Mantle, där påverkan kan stiga till $230.1 miljoner.

Aave noterade att dess kassa håller omkring $181 miljoner, med ytterligare backstops såsom dess Umbrella‑modell tillgänglig i vissa fall. Slutresultatet beror dock på hur Kelp DAO redovisar förlusterna och justerar sin oracle‑prissättning.

Påfrestningar har redan uppstått i protokollet, med nära $10 miljarder i värde som lämnat Aave sedan exploaten.

Vid tidpunkten för publiceringen uppgav Kelp DAO att man fortfarande granskar incidenten och arbetar med LayerZero, Aave och andra intressenter kring återhämtningsplaner och en väg för att säkert återuppta verksamheten.