Fem store DeFi-protokoller beder Arbitrum DAO om at frigive 30.765 ETH, der er låst fast efter en fejl i rsETH-broen

Hovedpunkter:

• Aave Labs, KelpDAO og tre andre protokoller indgav den 25. april et forfatningsmæssigt AIP for at frigive 30.765,67 ETH, der var blevet fastfrosset af Arbitrums Sikkerhedsråd.
• KelpDAO-bridge-exploit skabte et underskud på rsETH-dækningen på ca. 76.127 rsETH, hvilket direkte påvirkede Aave V3 Arbitrum-brugere.
• Hvis Arbitrum DAO godkender afstemningen, vil den 49-dages governance-proces omdirigere de genvundne ETH til en 2-af-3 Gnosis Safe til rsETH-afhjælpning.

DeFi-koalition sigter mod Arbitrum DAO for at frigive ETH, der er fastfrosset i KelpDAO rsETH-udnyttelsen

Forslaget er udarbejdet af Aave Labs, KelpDAO, Layerzero, Etherfi og Compound. Det beder Arbitrum DAO om at sende den fastfrosne ETH til en udpeget 2-ud-af-3 Gnosis Safe, der kontrolleres af underskrivere fra Aave, KelpDAO og Certora. Gendannelsesadressen er 0xf228130ce4fAB082C7D5522c90833cec83A9C15e.

Arbitrum Security Council frøs 30.765,667501709008927568 ETH den 21. april. Rådet flyttede disse midler til 0x0000000000000000000000000000000000000DA0 og gjorde det klart, at der ville være behov for en afstemning om styring, før de kunne flyttes igen.

Udnyttelsen stammede fra en sårbarhed i broen i KelpDAO rsETH-systemet. Ifølge en Llamarisk-hændelsesrapport frigav KelpDAO rsETH Unichain-til-Ethereum-broen 116.500 rsETH på Ethereum uden en tilsvarende forbrænding på kildesiden, hvilket brød den centrale broinvariant om, at rsETH låst på Ethereum-siden skal dække udbuddet præget på fjernkæden.

På tidspunktet for rapporten var der kun 40.373 rsETH tilbage i adapteren som bekræftet sikkerhed for 152.577 rsETH i krav fra fjernkæden. Det resulterende underskud i sikkerheden ligger på ca. 76.127 rsETH.

Under udnyttelsen leverede angriberen 89.567 rsETH til Aave på tværs af dets Ethereum Core- og Arbitrum-markeder og lånte 82.650 WETH plus 821 wstETH mod disse positioner. Forfatterne af forslaget var eksplicitte: Aaves smartkontrakter blev ikke kompromitteret. Hændelsen opstod uden for protokollen.

De 30.765,67 ETH, der opbevares på Arbitrum, udgør et væsentligt bidrag til at lukke dette underskud. Forslaget fastslår, at hver enhed af ETH, der returneres til genopretningsindsatsen, mindsker dækningsmanglen og bringer rsETH tættere på fuld sikkerhedsstillelse.

Hvis governance godkender frigivelsen, vil midlerne udelukkende blive brugt til at afhjælpe tab som følge af udnyttelsen. Hvis den koordinerede genopretning ikke forløber som planlagt, har parterne forpligtet sig til at vende tilbage til Arbitrum Governance for yderligere vejledning.

Forslagets tidsplan anslår ca. 49 dage fra offentliggørelse på forummet til gennemførelse. Dette inkluderer en uges forumdiskussion, en uges temperaturcheck, en tre dages afstemningsforsinkelse, en 14-dages on-chain-afstemning, en otte dages L2-ventetid, et en uges vindue til færdiggørelse af L2-til-L1-beskeder og en afsluttende tre dages L1-ventetid.
Der anmodes ikke om nogen ny tildeling fra kassen. Forslaget beder kun om frigivelse af midler, der allerede er indefrosset på Arbitrum One. De direkte budgetomkostninger for Arbitrum DAO forventes at være nul ud over de standardomkostninger, der er forbundet med gennemførelsen af governance.

Aave Labs har medtaget en fuldstændig erstatningsforpligtelse i forslaget. Virksomheden har indvilget i at skadesløsholde Arbitrum Foundation, Offchain Labs, Arbitrum Security Council og hvert af dets medlemmer mod ethvert krav, der måtte opstå som følge af indefrysningen, frigivelsen eller enhver relateret håndhævelsesforanstaltning.

Der kan foretages en Snapshot-temperaturkontrol, inden forslaget overføres til blockchainen. Hvis det går videre, vil afstemningen på blockchainen blive indsendt via Tally og rettet mod Arbitrum Core-guvernøren som en konstitutionel AIP.

Forfatterne har udtalt, at resultatet for Arbitrum-brugere er bedre end at lade midlerne forblive indefrosne, uanset om genopretningen er fuldstændig eller delvis.