Een coalitie van vijf DeFi-protocollen heeft op 25 april een Constitutionele AIP ingediend op het Arbitrum-governanceforum, waarin de Arbitrum DAO wordt verzocht om 30.765,67 ETH vrij te geven die na de KelpDAO-exploit van 18 april was bevroren.
Vijf grote DeFi-protocollen vragen Arbitrum DAO om 30.765 ETH vrij te geven die vastzitten na een bug in de rsETH-bridge
GESCHREVEN DOOR
DELEN
Belangrijkste punten:
- Aave Labs, KelpDAO en drie andere protocollen hebben op 25 april een Constitutionele AIP ingediend om 30.765,67 ETH vrij te geven die door de Veiligheidsraad van Arbitrum was bevroren.
- De KelpDAO-bridge-exploit veroorzaakte een tekort aan rsETH-dekking van ongeveer 76.127 rsETH, wat directe gevolgen had voor Aave V3 Arbitrum-gebruikers.
- Als Arbitrum DAO de stemming goedkeurt, zal het 49 dagen durende bestuursproces de teruggewonnen ETH naar een 2-van-3 Gnosis Safe leiden voor rsETH-herstel.
DeFi-coalitie richt zich op Arbitrum DAO om ETH vrij te geven die bevroren is in KelpDAO rsETH-exploit
Het voorstel is opgesteld door Aave Labs, KelpDAO, Layerzero, Etherfi en Compound. Het vraagt Arbitrum DAO om de bevroren ETH naar een aangewezen 2-van-3 Gnosis Safe te sturen die wordt beheerd door ondertekenaars van Aave, KelpDAO en Certora. Het hersteladres is 0xf228130ce4fAB082C7D5522c90833cec83A9C15e.
De Arbitrum Security Council heeft op 21 april 30.765,667501709008927568 ETH bevroren. De raad heeft die middelen overgeheveld naar 0x0000000000000000000000000000000000000DA0 en duidelijk gemaakt dat er een governance-stemming nodig is voordat ze weer verplaatst kunnen worden.
De exploit vond zijn oorsprong in een kwetsbaarheid in de bridge van het KelpDAO rsETH-systeem. Volgens een incidentrapport van Llamarisk heeft de KelpDAO rsETH Unichain-naar-Ethereum-bridge 116.500 rsETH op Ethereum vrijgegeven zonder een overeenkomstige vernietiging aan de bronzijde, waardoor de kerninvariantie van de bridge werd geschonden dat aan de Ethereum-zijde vergrendelde rsETH de op de externe keten geslagen voorraad moet dekken.
Op het moment van het rapport bleef slechts 40.373 rsETH in de adapter achter als bevestigde dekking voor 152.577 rsETH aan claims op de externe keten. Het resulterende tekort aan dekking bedraagt ongeveer 76.127 rsETH.
Tijdens de exploit leverde de aanvaller 89.567 rsETH aan Aave via de Ethereum Core- en Arbitrum-markten en leende hij 82.650 WETH plus 821 wstETH tegen die posities. De auteurs van het voorstel waren duidelijk: de smart contracts van Aave waren niet gecompromitteerd. Het incident vond zijn oorsprong buiten het protocol.
De 30.765,67 ETH die op Arbitrum wordt aangehouden, vormt een wezenlijke bijdrage aan het dichten van dat tekort. In het voorstel staat dat elke eenheid ETH die wordt teruggegeven aan de herstelinspanning het dekkingstekort verkleint en rsETH dichter bij volledige onderpandstelling brengt.
Als het bestuur de vrijgave goedkeurt, zullen de middelen uitsluitend worden gebruikt om de verliezen als gevolg van de exploit te vergoeden. Als het gecoördineerde herstel niet verloopt zoals gepland, hebben de partijen toegezegd terug te keren naar Arbitrum Governance voor verdere instructies.
De tijdlijn van het voorstel schat ongeveer 49 dagen vanaf de publicatie op het forum tot de uitvoering. Dat omvat een forumdiscussie van één week, een peiling van één week, een stemvertraging van drie dagen, een on-chain stemming van 14 dagen, een L2-wachttijd van acht dagen, een finalisatieperiode van één week voor L2-naar-L1-berichten en een laatste L1-wachttijd van drie dagen.
Er wordt geen nieuwe toewijzing uit de schatkist gevraagd. Het voorstel vraagt alleen om de vrijgave van middelen die al op Arbitrum One zijn bevroren. De directe budgettaire kosten voor de Arbitrum DAO zullen naar verwachting nul bedragen, afgezien van de standaard overheadkosten voor de uitvoering van het bestuur.
Aave Labs heeft een volledige vrijwaringsverplichting in het voorstel opgenomen. Het bedrijf stemde ermee in om de Arbitrum Foundation, Offchain Labs, de Arbitrum Security Council en elk van haar leden te vrijwaren tegen alle vorderingen die voortvloeien uit de bevriezing, de vrijgave of enige daarmee verband houdende handhavingsmaatregel.
Layerzero beweert dat er geen besmetting heeft plaatsgevonden na een exploit van 290 miljoen dollar, terwijl tegenstrijdige verhalen de kritische blik doen toenemen
De beveiliging van DeFi-bridges staat onder grotere druk nadat een grootschalige aanval structurele zwakke punten in het ontwerp van verifiers en de afhankelijkheid van infrastructuur aan het licht heeft gebracht. De read more.
Lees nu
Layerzero beweert dat er geen besmetting heeft plaatsgevonden na een exploit van 290 miljoen dollar, terwijl tegenstrijdige verhalen de kritische blik doen toenemen
De beveiliging van DeFi-bridges staat onder grotere druk nadat een grootschalige aanval structurele zwakke punten in het ontwerp van verifiers en de afhankelijkheid van infrastructuur aan het licht heeft gebracht. De read more.
Lees nuLayerzero beweert dat er geen besmetting heeft plaatsgevonden na een exploit van 290 miljoen dollar, terwijl tegenstrijdige verhalen de kritische blik doen toenemen
Lees nuDe beveiliging van DeFi-bridges staat onder grotere druk nadat een grootschalige aanval structurele zwakke punten in het ontwerp van verifiers en de afhankelijkheid van infrastructuur aan het licht heeft gebracht. De read more.
Er kan een Snapshot-temperatuurcontrole worden uitgevoerd voordat het voorstel on-chain gaat. Als het doorgaat, zal de on-chain-stemming via Tally worden ingediend en gericht zijn op de Arbitrum Core-gouverneur als een Constitutionele AIP.
De auteurs verklaarden dat de uitkomst voor Arbitrum-gebruikers beter is dan het bevroren laten van de fondsen, ongeacht of het herstel volledig of gedeeltelijk is.
