Cinq grands protocoles DeFi demandent à Arbitrum DAO de débloquer 30 765 ETH bloqués à la suite d'un bug du pont rsETH

• Aave Labs, KelpDAO et trois autres protocoles ont déposé une proposition AIP constitutionnelle le 25 avril afin de débloquer 30 765,67 ETH gelés par le Conseil de sécurité d'Arbitrum.
• L'exploitation du pont KelpDAO a entraîné un déficit de couverture rsETH d'environ 76 127 rsETH, affectant directement les utilisateurs d'Aave V3 Arbitrum.
• Si Arbitrum DAO approuve le vote, le processus de gouvernance de 49 jours acheminera les ETH récupérés vers un Gnosis Safe à majorité de 2 sur 3 pour la remise en état du rsETH.

La coalition DeFi cible Arbitrum DAO pour débloquer les ETH gelés suite à l'exploitation de KelpDAO rsETH

La proposition a été rédigée par Aave Labs, KelpDAO, Layerzero, Etherfi et Compound. Elle demande à Arbitrum DAO d'envoyer les ETH gelés vers un Gnosis Safe 2-sur-3 désigné, contrôlé par des signataires d'Aave, de KelpDAO et de Certora. L'adresse de récupération est 0xf228130ce4fAB082C7D5522c90833cec83A9C15e.

Le Conseil de sécurité d'Arbitrum a gelé 30 765,667501709008927568 ETH le 21 avril. Le conseil a transféré ces fonds vers l'adresse 0x0000000000000000000000000000000000000DA0 et a clairement indiqué qu'un vote de gouvernance serait nécessaire avant qu'ils ne puissent être transférés à nouveau.

L'exploitation provenait d'une vulnérabilité du pont dans le système rsETH de KelpDAO. Selon un rapport d'incident de Llamarisk, le pont Unichain-Ethereum rsETH de KelpDAO a libéré 116 500 rsETH sur Ethereum sans destruction correspondante du côté source, enfreignant ainsi l'invariance fondamentale du pont selon laquelle les rsETH verrouillés du côté Ethereum doivent couvrir l'offre frappée sur la chaîne distante.

Au moment du rapport, il ne restait que 40 373 rsETH dans l'adaptateur en tant que garantie confirmée pour 152 577 rsETH de créances sur la chaîne distante. Le déficit de garantie qui en résulte s'élève à environ 76 127 rsETH.

Au cours de l'exploitation, l'attaquant a fourni 89 567 rsETH à Aave sur ses marchés Ethereum Core et Arbitrum et a emprunté 82 650 WETH ainsi que 821 wstETH contre ces positions. Les auteurs de la proposition ont été clairs : les contrats intelligents d'Aave n'ont pas été compromis. L'incident a pris naissance en dehors du protocole.

Les 30 765,67 ETH détenus sur Arbitrum représentent une contribution significative à la résorption de ce déficit. La proposition stipule que chaque unité d'ETH restituée dans le cadre de l'effort de recouvrement réduit l'écart de couverture et rapproche le rsETH d'une collatéralisation complète.

Si la gouvernance approuve la libération, les fonds seront utilisés uniquement pour compenser les pertes résultant de l'exploitation. Si le processus de récupération coordonné ne se déroule pas comme prévu, les parties se sont engagées à revenir vers Arbitrum Governance pour obtenir de nouvelles instructions. Le calendrier de la proposition prévoit environ 49 jours entre la publication sur le forum et l'exécution. Ce délai comprend une semaine de discussion sur le forum, une semaine d'évaluation de l'opinion, un délai de vote de trois jours, un vote sur la chaîne de 14 jours, une période d'attente L2 de huit jours, une fenêtre de finalisation des messages L2 vers L1 d'une semaine, et une période d'attente L1 finale de trois jours. Aucune nouvelle allocation de trésorerie n'est demandée. La proposition demande uniquement la libération des fonds déjà gelés sur Arbitrum One. Le coût budgétaire direct pour l'Arbitrum DAO devrait être nul, hormis les frais généraux standard liés à l'exécution de la gouvernance. Aave Labs a inclus un engagement d'indemnisation complet dans la proposition. La société a accepté d'indemniser la Fondation Arbitrum, Offchain Labs, le Conseil de sécurité d'Arbitrum et chacun de ses membres contre toute réclamation découlant du gel, de la libération ou de toute mesure d'exécution connexe.

Une vérification de la température via Snapshot pourrait être effectuée avant que la proposition ne soit mise en ligne. Si elle est approuvée, le vote en ligne sera soumis via Tally et visera le gouverneur d'Arbitrum Core en tant qu'AIP constitutionnel. Les auteurs ont déclaré que le résultat pour les utilisateurs d'Arbitrum est préférable au maintien du gel des fonds, que le recouvrement soit total ou partiel.