Arbitrum, Kelp DAO hack'inde $71M ETH'yi dondurdu

Arbitrum, kayıpları sınırlamak amacıyla Kelp DAO istismarına bağlı $71 million'dan fazla ETH'yi dondurdu.

Arbitrum tarafından paylaşılan Salı güncellemesine göre, ağın Güvenlik Konseyi hafta sonu saldırısıyla bağlantılı Arbitrum One üzerindeki bir adresten 30,766 ETH ele geçirdi ve bunları dondurulmuş bir aracı cüzdana transfer etti.

Arbitrum, işlemin ağı kesintiye uğratmadan veya kullanıcı etkinliğini etkilemeden gerçekleştirildiğini söyledi. Fonlar, yönetişim herhangi bir ek adımı onaylamadıkça kilitli kalacak.

“Güvenlik Konseyi, saldırganın kimliği konusunda kolluk kuvvetlerinin görüşünü alarak hareket etti ve her zaman Arbitrum topluluğunun güvenliği ve bütünlüğüne olan bağlılığını, herhangi bir Arbitrum kullanıcısı veya uygulamasını etkilemeden gözetti,” ekip belirtti.

Cumartesi günkü ihlal, Kelp DAO'nun LayerZero destekli köprüsünü hedef aldı; saldırganlar yaklaşık $292 million değerinde 116,500 rsETH'yi boşalttı ve bu, bu yıl şimdiye kadarki en büyük DeFi istismarlarından biri oldu.

LayerZero'dan gelen ön bulgular Kuzey Kore'nin Lazarus Group'a işaret etti; saldırganın merkezi olmayan doğrulanmış ağ tarafından kullanılan RPC düğümlerini ele geçirdiği bildirildi. 

İki düğüm zehirlendi ve üçüncüye DDoS saldırısı yapıldı; bu, sahte bir zincirler arası mesajın doğrulamadan geçmesine ve yasadışı şekilde rsETH basılmasına olanak sağladı.

Çalınan varlıkların bir kısmı daha sonra Aave V3'te ortaya çıktı; saldırgan burada wrapped ETH borç almak için büyük miktarda rsETH'yi teminat olarak yatırdı ve bu, protokol genelinde potansiyel kötü borç endişelerini artırdı.

Kelp DAO, sözleşmeleri durdurarak ve saldırganla bağlantılı cüzdanları kara listeye alarak hızlı hareket ettiğini; böylece ek 40,000 rsETH'nin yaklaşık $95 million değerinde boşaltılmasını engellediğini söyledi.

Güvenlik yapılandırması üzerindeki anlaşmazlık kızışıyor

LayerZero, Kelp DAO'nun 1-of-1 merkezi olmayan doğrulanmış ağ (DVN) yapılandırmasını kullanmasını eleştirdi; bunun bağımsız doğrulama olmadan tek bir arıza noktası yarattığını savundu.

“LayerZero ve diğer dış taraflar daha önce DVN çeşitlendirmesiyle ilgili en iyi uygulamaları Kelp DAO ile paylaştı,” firma söyledi ve projenin “1/1 DVN yapılandırmasını kullanmayı tercih ettiğini” ekledi.

Kelp DAO karşı çıktı ve bu yapılandırmanın bağımsız bir karar değil, sağlanan varsayılan yapılandırma olduğunu belirtti.

“1-of-1 DVN kurulumu, LayerZero’nun dokümantasyonunda belgelenmiş ve herhangi yeni bir OFT dağıtımı için varsayılan olarak gönderilen yapılandırmadır,” Kelp dedi ve düzenlemenin önceki görüşmeler sırasında “uygun olduğu yönünde olumlu şekilde teyit edildiğini” ekledi.

Aave, kayıplar DeFi'ye yayılırken etkileri modelliyor

Aave’nin ekosistem ortaklarından gelen ayrı risk değerlendirmeleri, kayıpların nasıl ele alındığına göre iki olası sonucu ortaya koydu.

Bir senaryo, zincirler arasındaki tüm rsETH sahipleri arasında kayıpları yayar; bu da yaklaşık $123.7 million kötü borç ve ETH'den yaklaşık %15 depeg ile sonuçlanır. 

Diğer bir senaryo, kayıpları Arbitrum ve Mantle gibi layer 2 pazarlarına izole eder; burada etki $230.1 million'a kadar çıkabilir.

Aave, hazinesinin yaklaşık $181 million tuttuğunu ve bazı durumlarda Umbrella modeli gibi ek backstop'ların mevcut olduğunu belirtti. Yine de nihai sonuç, Kelp DAO'nun kayıpları nasıl muhasebeleştireceği ve oracle fiyatlamasını nasıl ayarlayacağına bağlı.

Sömürüden bu yana Aave'den yaklaşık $10 billion değerinde çıkış yaşandığı için protokol genelinde baskı zaten oluştu.

Yayın zamanı itibarıyla Kelp DAO, olayı hâlâ inceliyor olduğunu ve LayerZero, Aave ile diğer paydaşlarla kurtarma planları ve operasyonları güvenli şekilde yeniden başlatma yolu üzerinde çalıştıklarını söyledi.