5개의 디파이(DeFi) 프로토콜로 구성된 연합은 4월 25일 Arbitrum 거버넌스 포럼에 헌법적 AIP를 제출하여, Arbitrum DAO에 4월 18일 KelpDAO 해킹 사건 이후 동결된 30,765.67 ETH를 해제해 줄 것을 요청했습니다. 주요 내용:
5대 주요 디파이(DeFi) 프로토콜, rsETH 브리지 버그로 인해 잠긴 30,765 ETH를 해제해 달라고 Arbitrum DAO에 요청
작성자
공유
- Aave Labs, KelpDAO 및 기타 3개 프로토콜은 4월 25일, Arbitrum 보안 위원회에 의해 동결된 30,765.67 ETH를 해제하기 위해 헌법적 AIP를 제출했습니다.
- KelpDAO 브리지 해킹으로 인해 약 76,127 rsETH 규모의 rsETH 담보 부족 사태가 발생했으며, 이는 Aave V3 Arbitrum 사용자에게 직접적인 영향을 미쳤습니다.
- Arbitrum DAO가 이 안건을 승인할 경우, 49일간의 거버넌스 절차를 거쳐 회수된 ETH는 rsETH 문제 해결을 위해 2-of-3 Gnosis Safe로 이체될 예정입니다.
DeFi 연합, 켈프DAO rsETH 취약점으로 동결된 ETH 해제 위해 아비트럼 DAO에 제안
이 제안은 Aave Labs, KelpDAO, Layerzero, Etherfi 및 Compound가 작성했습니다. 이 제안은 Arbitrum DAO에 동결된 ETH를 Aave, KelpDAO 및 Certora의 서명자가 관리하는 지정된 2-of-3 Gnosis Safe로 보내줄 것을 요청합니다. 복구 주소는 0xf228130ce4fAB082C7D5522c90833cec83A9C15e입니다.
Arbitrum 보안 위원회는 4월 21일 30,765.667501709008927568 ETH를 동결했습니다. 이사회는 해당 자금을 0x0000000000000000000000000000000000000DA0로 이동시켰으며, 자금을 다시 이동시키기 위해서는 거버넌스 투표가 필요함을 분명히 했습니다.
이번 해킹은 KelpDAO rsETH 시스템의 브리지 취약점에서 비롯되었습니다. Llamarisk 사고 보고서에 따르면, KelpDAO rsETH 유니체인-이더리움 브리지는 소스 측에서 상응하는 소각 없이 이더리움에 116,500 rsETH를 방출함으로써, 이더리움 측에 잠긴 rsETH가 원격 체인에서 발행된 공급량을 커버해야 한다는 핵심 브리지 불변 조건을 위반했습니다.
보고서 작성 시점 기준, 원격 체인 청구액 152,577 rsETH에 대한 확인된 담보로 어댑터에는 40,373 rsETH만 남아 있었습니다. 이로 인한 담보 부족분은 약 76,127 rsETH에 달합니다.
이 공격 과정에서 공격자는 이더리움 코어 및 아비트럼(Arbitrum) 마켓을 통해 Aave에 89,567 rsETH를 공급하고, 해당 포지션을 담보로 82,650 WETH와 821 wstETH를 차입했습니다. 제안서 작성자들은 Aave의 스마트 계약이 침해되지 않았음을 분명히 밝혔습니다. 이 사건은 프로토콜 외부에서 발생했습니다.
Arbitrum에 예치된 30,765.67 ETH는 해당 부족분을 메우는 데 실질적인 기여를 합니다. 제안서에 따르면, 복구 노력에 반환되는 ETH 한 단위마다 담보 부족 격차가 좁혀지고 rsETH가 완전 담보화 상태에 한 걸음 더 가까워집니다.
거버넌스가 자금 해제를 승인할 경우, 해당 자금은 전적으로 이번 악용 사고로 인한 손실을 복구하는 데 사용될 것입니다. 만약 계획된 공동 복구 절차가 예정대로 진행되지 않을 경우, 관련 당사자들은 추가 지침을 위해 Arbitrum 거버넌스로 돌아가기로 약속했습니다. 제안서 일정에 따르면 포럼 게시부터 실행까지 약 49일이 소요될 것으로 예상됩니다. 여기에는 1주간의 포럼 토론, 1주간의 여론 조사, 3일간의 투표 유예 기간, 14일간의 온체인 투표, 8일간의 L2 대기 기간, 1주간의 L2-to-L1 메시지 확정 기간, 그리고 마지막 3일간의 L1 대기 기간이 포함됩니다. 새로운 재무부 자금 배정은 요청되지 않습니다. 이 제안은 Arbitrum One에 이미 동결된 자금의 해제만을 요청합니다. Arbitrum DAO에 대한 직접적인 예산 비용은 표준 거버넌스 실행 오버헤드를 제외하면 제로일 것으로 예상됩니다. Aave Labs는 제안서에 완전한 배상 책임을 명시했습니다. 해당 기업은 동결, 자금 해제 또는 관련 집행 조치로 인해 발생하는 모든 청구에 대해 Arbitrum 재단, Offchain Labs, Arbitrum 보안 위원회 및 각 구성원을 배상하기로 합의했습니다.
레이어제로, 2억 9천만 달러 규모의 해킹 사고 후 ‘전염 효과 제로’ 주장… 상반된 주장들로 인해 논란의 초점 집중
한 대규모 해킹 사건으로 검증자 설계와 인프라 의존성에 내재된 구조적 취약점이 드러나면서, 디파이(DeFi) 브리지 보안에 대한 압박이 더욱 거세지고 있다. read more.
지금 읽기
레이어제로, 2억 9천만 달러 규모의 해킹 사고 후 ‘전염 효과 제로’ 주장… 상반된 주장들로 인해 논란의 초점 집중
한 대규모 해킹 사건으로 검증자 설계와 인프라 의존성에 내재된 구조적 취약점이 드러나면서, 디파이(DeFi) 브리지 보안에 대한 압박이 더욱 거세지고 있다. read more.
지금 읽기레이어제로, 2억 9천만 달러 규모의 해킹 사고 후 ‘전염 효과 제로’ 주장… 상반된 주장들로 인해 논란의 초점 집중
지금 읽기한 대규모 해킹 사건으로 검증자 설계와 인프라 의존성에 내재된 구조적 취약점이 드러나면서, 디파이(DeFi) 브리지 보안에 대한 압박이 더욱 거세지고 있다. read more.
제안이 온체인에 상정되기 전에 스냅샷(Snapshot)을 통한 여론 조사가 진행될 수 있습니다. 제안이 통과될 경우, 온체인 투표는 Tally를 통해 제출되며 헌법적 AIP(Constitutional AIP)로서 Arbitrum Core 거버너를 대상으로 할 것입니다. 제안 작성자들은 자금이 전액 또는 일부만 회수되더라도, 자금을 동결된 상태로 두는 것보다 Arbitrum 사용자에게 더 나은 결과라고 밝혔습니다.
