Naghain ang isang koalisyon ng limang DeFi protocol ng isang Constitutional AIP sa Arbitrum governance forum noong Abril 25, na humihiling sa Arbitrum DAO na ilabas ang 30,765.67 ETH na na-freeze matapos ang Abril 18 KelpDAO exploit.
Limang Pangunahing DeFi Protocol ang Humiling sa Arbitrum DAO na Palayain ang 30,765 ETH na Naka-lock Matapos ang Bug sa rsETH Bridge
ISINULAT NI
IBAHAGI
Mahahalagang Takeaway:
- Naghain ang Aave Labs, KelpDAO, at tatlo pang iba pang protocol ng isang Constitutional AIP noong Abril 25 upang ilabas ang 30,765.67 ETH na na-freeze ng Security Council ng Arbitrum.
- Ang bridge exploit ng KelpDAO ay lumikha ng kakulangan sa backing ng rsETH na humigit-kumulang 76,127 rsETH, na direktang nakaapekto sa mga user ng Aave V3 Arbitrum.
- Kung aaprubahan ng Arbitrum DAO ang boto, ang 49-araw na proseso ng pamamahala ay ididirekta ang narecover na ETH sa isang 2-of-3 Gnosis Safe para sa remediation ng rsETH.
Tinutukan ng DeFi Coalition ang Arbitrum DAO upang I-unlock ang ETH na Na-freeze sa KelpDAO rsETH Exploit
Ang panukala ay isinulat ng Aave Labs, KelpDAO, Layerzero, Etherfi, at Compound. Hiniling nito sa Arbitrum DAO na ipadala ang na-freeze na ETH sa isang itinalagang 2-of-3 Gnosis Safe na kontrolado ng mga signer mula sa Aave, KelpDAO, at Certora. Ang recovery address ay 0xf228130ce4fAB082C7D5522c90833cec83A9C15e.
Ang Arbitrum Security Council ay nag-freeze ng 30,765.667501709008927568 ETH noong Abril 21. Inilipat ng council ang mga pondong iyon sa 0x0000000000000000000000000000000000000DA0 at nilinaw na kakailanganin ang isang boto sa governance bago muli ito mailipat.
Nagmula ang exploit sa isang kahinaan sa bridge sa KelpDAO rsETH system. Ayon sa incident report ng Llamarisk, ang KelpDAO rsETH Unichain-to-Ethereum bridge ay naglabas ng 116,500 rsETH sa Ethereum nang walang katumbas na burn sa source side, na sumira sa pangunahing bridge invariant na ang naka-lock na rsETH sa panig ng Ethereum ay dapat sumaklaw sa minted supply sa remote chain.
Sa oras ng ulat, 40,373 rsETH na lamang ang natira sa adapter bilang kumpirmadong backing para sa 152,577 rsETH sa mga claim sa remote chain. Ang nagresultang kakulangan sa backing ay nasa humigit-kumulang 76,127 rsETH.
Sa panahon ng exploit, ang attacker ay nagsuplay ng 89,567 rsETH sa Aave sa parehong Ethereum Core at Arbitrum markets nito at nanghiram ng 82,650 WETH plus 821 wstETH laban sa mga posisyong iyon. Tahasang sinabi ng mga may-akda ng panukala: hindi nakompromiso ang mga smart contract ng Aave. Ang insidente ay nagmula sa labas ng protocol.
Ang 30,765.67 ETH na hawak sa Arbitrum ay kumakatawan sa isang makabuluhang ambag tungo sa pagsasara ng kakulangang iyon. Sinasabi ng panukala na bawat unit ng ETH na maibabalik sa recovery effort ay nagpapaliit sa backing gap at naglalapit sa rsETH sa ganap na collateralization.
Kung aaprubahan ng governance ang pagpapalabas, ang mga pondo ay gagamitin lamang upang i-remediate ang mga pagkalugi na nagmula sa exploit. Kung hindi umusad ang koordinadong recovery gaya ng nakaplano, nangako ang mga partido na babalik sa Arbitrum Governance para sa karagdagang direksyon.
Tinataya ng timeline ng panukala ang humigit-kumulang 49 araw mula sa paglalathala sa forum hanggang sa execution. Kabilang dito ang isang linggong talakayan sa forum, isang linggong temperature check, tatlong araw na voting delay, isang 14-araw na onchain vote, isang walong araw na L2 waiting period, isang linggong L2-to-L1 message finalization window, at isang huling tatlong araw na L1 waiting period.
Walang hinihiling na bagong alokasyon mula sa treasury. Ang panukala ay humihiling lamang ng pagpapalabas ng mga pondong na-freeze na sa Arbitrum One. Inaasahang zero ang direktang gastos sa badyet ng Arbitrum DAO maliban sa karaniwang governance execution overhead.
Isinama ng Aave Labs ang isang ganap na indemnification commitment sa panukala. Sumang-ayon ang kumpanya na i-indemnify ang Arbitrum Foundation, Offchain Labs, ang Arbitrum Security Council, at ang bawat miyembro nito laban sa anumang claim na magmumula sa pag-freeze, sa pagpapalabas, o sa anumang kaugnay na enforcement action.
Inaangkin ng Layerzero na Walang Pagkalat Matapos ang $290M na Eksployt Habang Lumalalim ang mga Pinagtatalunang Salaysay, Tumitindi ang Pagsisiyasat
Ang seguridad ng DeFi bridge ay nasa mas mahigpit na pagsubok matapos ang isang malaking pagsasamantala na naglantad ng mga istruktural na kahinaan sa disenyo ng verifier at mga pag-asa sa imprastraktura. Ang read more.
Basahin ngayon
Inaangkin ng Layerzero na Walang Pagkalat Matapos ang $290M na Eksployt Habang Lumalalim ang mga Pinagtatalunang Salaysay, Tumitindi ang Pagsisiyasat
Ang seguridad ng DeFi bridge ay nasa mas mahigpit na pagsubok matapos ang isang malaking pagsasamantala na naglantad ng mga istruktural na kahinaan sa disenyo ng verifier at mga pag-asa sa imprastraktura. Ang read more.
Basahin ngayonInaangkin ng Layerzero na Walang Pagkalat Matapos ang $290M na Eksployt Habang Lumalalim ang mga Pinagtatalunang Salaysay, Tumitindi ang Pagsisiyasat
Basahin ngayonAng seguridad ng DeFi bridge ay nasa mas mahigpit na pagsubok matapos ang isang malaking pagsasamantala na naglantad ng mga istruktural na kahinaan sa disenyo ng verifier at mga pag-asa sa imprastraktura. Ang read more.
Maaaring magsagawa ng Snapshot temperature check bago lumipat onchain ang panukala. Kung umusad ito, ang onchain vote ay isusumite sa pamamagitan ng Tally at itatarget ang Arbitrum Core governor bilang isang Constitutional AIP.
Sinabi ng mga may-akda na mas mainam ang magiging kinalabasan para sa mga user ng Arbitrum kaysa iwanang naka-freeze ang mga pondo, maging ganap man o bahagya ang recovery.
