П'ять провідних протоколів DeFi звернулися до Arbitrum DAO з проханням розблокувати 30 765 ETH, заблокованих через помилку в мості rsETH

Основні висновки:

• 25 квітня Aave Labs, KelpDAO та три інші протоколи подали конституційну пропозицію (AIP) щодо розморожування 30 765,67 ETH, заморожених Радою безпеки Arbitrum.
• Зловживання мостом KelpDAO спричинило дефіцит забезпечення rsETH у розмірі приблизно 76 127 rsETH, що безпосередньо вплинуло на користувачів Aave V3 Arbitrum.
• Якщо Arbitrum DAO схвалить голосування, 49-денний процес управління перенаправить відновлені ETH до Gnosis Safe з правилами «2 з 3» для виправлення ситуації з rsETH.

Коаліція DeFi звертається до Arbitrum DAO з метою розблокування ETH, заморожених внаслідок експлойту KelpDAO rsETH

Пропозицію підготували Aave Labs, KelpDAO, Layerzero, Etherfi та Compound. У ній Arbitrum DAO просять надіслати заморожені ETH до призначеного Gnosis Safe з механізмом 2-з-3, контрольованого підписантами з Aave, KelpDAO та Certora. Адреса для відновлення — 0xf228130ce4fAB082C7D5522c90833cec83A9C15e.

21 квітня Рада безпеки Arbitrum заморозила 30 765,667501709008927568 ETH. Рада перевела ці кошти на адресу 0x0000000000000000000000000000000000000DA0 і чітко зазначила, що для їх подальшого переміщення буде потрібно провести голосування з питань управління.

Експлойт виник через вразливість мосту в системі KelpDAO rsETH. Згідно зі звітом про інцидент від Llamarisk, міст KelpDAO rsETH Unichain-to-Ethereum випустив 116 500 rsETH на Ethereum без відповідного спалення на стороні джерела, порушивши основну інваріанту мосту, згідно з якою заблоковані на стороні Ethereum rsETH повинні покривати випущену на віддаленій ланцюзі кількість.

На момент складання звіту в адаптері залишилося лише 40 373 rsETH як підтверджене забезпечення для 152 577 rsETH у вимогах віддаленої ланцюга. В результаті дефіцит забезпечення становить приблизно 76 127 rsETH.

Під час експлойту зловмисник надав 89 567 rsETH Aave через ринки Ethereum Core та Arbitrum і позичив 82 650 WETH та 821 wstETH під ці позиції. Автори пропозиції чітко зазначили: смарт-контракти Aave не були скомпрометовані. Інцидент виник поза межами протоколу.

30 765,67 ETH, що зберігаються на Arbitrum, є істотним внеском у покриття цього дефіциту. У пропозиції зазначено, що кожна одиниця ETH, повернута для відновлення, зменшує розрив у забезпеченні та наближає rsETH до повного забезпечення.

Якщо управління схвалить випуск, кошти будуть використані виключно для покриття збитків, що виникли внаслідок експлойта. Якщо скоординоване відновлення не відбудеться як заплановано, сторони зобов'язалися звернутися до управління Arbitrum для отримання подальших вказівок.

Графік реалізації пропозиції передбачає приблизно 49 днів від публікації на форумі до виконання. Це включає тижневу дискусію на форумі, тижневу оцінку ситуації, триденну затримку голосування, 14-денне голосування в ланцюжку, восьмиденний період очікування L2, тижневе вікно для фіналізації повідомлення від L2 до L1 та остаточний триденний період очікування L1.

Нового виділення коштів з казни не вимагається. У пропозиції йдеться лише про вивільнення коштів, які вже заморожені на Arbitrum One. Очікується, що прямі бюджетні витрати для Arbitrum DAO будуть дорівнювати нулю, за винятком стандартних накладних витрат на виконання управління.

Aave Labs включила до пропозиції зобов'язання щодо повного відшкодування збитків. Компанія погодилася відшкодувати Arbitrum Foundation, Offchain Labs, Раді безпеки Arbitrum та кожному з її членів будь-які претензії, що виникають у зв'язку із заморожуванням, розблокуванням або будь-якими пов'язаними з цим заходами щодо виконання.

Перед тим, як пропозиція потрапить в ончейн, може бути проведена перевірка температури Snapshot. Якщо вона пройде, голосування в ончейні буде подано через Tally і спрямовано на губернатора Arbitrum Core як конституційний AIP.

Автори заявили, що результат для користувачів Arbitrum буде кращим, ніж залишення коштів замороженими, незалежно від того, чи буде відновлення повним чи частковим.