Fem store DeFi-protokoller ber Arbitrum DAO om å frigi 30 765 ETH som er låst etter en rsETH-brofeil

Viktige punkter:

• Aave Labs, KelpDAO og tre andre protokoller leverte en konstitusjonell AIP 25. april for å frigi 30 765,67 ETH som ble fryst av Arbitrum sitt sikkerhetsråd.
• KelpDAO-bro-utnyttelsen skapte et underskudd i rsETH-dekning på omtrent 76 127 rsETH, noe som direkte påvirket Aave V3 Arbitrum-brukere.
• Hvis Arbitrum DAO godkjenner avstemningen, vil den 49 dager lange styringsprosessen rute gjeninnhentet ETH til en 2-av-3 Gnosis Safe for rsETH-utbedring.

DeFi-koalisjon retter seg mot Arbitrum DAO for å låse opp ETH fryst i KelpDAO rsETH-utnyttelsen

Forslaget ble utarbeidet av Aave Labs, KelpDAO, Layerzero, Etherfi og Compound. Det ber Arbitrum DAO om å sende den fryste ETH-en til en utpekt 2-av-3 Gnosis Safe kontrollert av underskrivere fra Aave, KelpDAO og Certora. Gjenopprettingsadressen er 0xf228130ce4fAB082C7D5522c90833cec83A9C15e.

Arbitrum sitt sikkerhetsråd frøs 30 765,667501709008927568 ETH 21. april. Rådet flyttet disse midlene til 0x0000000000000000000000000000000000000DA0 og gjorde det klart at en styringsavstemning ville være nødvendig før de kunne flyttes igjen.

Utnyttelsen stammet fra en bro-sårbarhet i KelpDAO sitt rsETH-system. Ifølge en hendelsesrapport fra Llamarisk frigjorde KelpDAO rsETH Unichain-til-Ethereum-broen 116 500 rsETH på Ethereum uten en tilsvarende brenning på kildesiden, noe som brøt broens kjerneinvariant om at rsETH som er låst på Ethereum-siden skal dekke tilbudet som er mintet på eksterne kjeder.

På tidspunktet for rapporten var bare 40 373 rsETH igjen i adapteren som bekreftet dekning for 152 577 rsETH i krav på eksterne kjeder. Det resulterende dekningsunderskuddet ligger på omtrent 76 127 rsETH.

Under utnyttelsen leverte angriperen 89 567 rsETH til Aave på tvers av Ethereum Core- og Arbitrum-markedene og lånte 82 650 WETH pluss 821 wstETH mot disse posisjonene. Forfatterne av forslaget var tydelige: Aaves smartkontrakter ble ikke kompromittert. Hendelsen oppsto utenfor protokollen.

De 30 765,67 ETH som holdes på Arbitrum representerer et vesentlig bidrag til å tette dette underskuddet. Forslaget sier at hver enhet ETH som returneres til gjenopprettingsarbeidet, reduserer dekningsgapet og bringer rsETH nærmere full sikkerhetsdekning.

Hvis styringen godkjenner frislippet, vil midlene utelukkende bli brukt til å utbedre tap som følge av utnyttelsen. Hvis den koordinerte gjenopprettingen ikke fortsetter som planlagt, har partene forpliktet seg til å vende tilbake til Arbitrum-styringen for videre veiledning.

Forslagets tidslinje anslår omtrent 49 dager fra publisering på forumet til gjennomføring. Det inkluderer én uke med forumdiskusjon, én uke med temperaturmåling, en avstemningsforsinkelse på tre dager, en 14-dagers onchain-avstemning, en åtte dagers L2-venteperiode, et én ukes vindu for finalisering av L2-til-L1-meldinger, og en siste tre dagers L1-venteperiode.

Ingen ny tildeling fra statskassen etterspørres. Forslaget ber kun om frigivelse av midler som allerede er fryst på Arbitrum One. Den direkte budsjettkostnaden for Arbitrum DAO forventes å være null utover standard overhead for gjennomføring av styring.

Aave Labs inkluderte en full skadesløsholdelsesforpliktelse i forslaget. Selskapet samtykket i å skadesløsholde Arbitrum Foundation, Offchain Labs, Arbitrum sitt sikkerhetsråd og hvert av dets medlemmer mot eventuelle krav som oppstår fra frysen, frislippet eller enhver relatert håndhevingshandling.

En Snapshot-temperaturmåling kan bli gjennomført før forslaget flyttes onchain. Hvis det går videre, vil onchain-avstemningen bli sendt inn via Tally og rette seg mot Arbitrum Core-governoren som en konstitusjonell AIP.

Forfatterne uttalte at utfallet for Arbitrum-brukere er bedre enn å la midlene forbli fryst, enten gjenopprettingen blir full eller delvis.