Arbitrum congela $71M en ETH por el hackeo a Kelp DAO mientras crece el impacto en DeFi

Arbitrum ha congelado más de $71 million en ETH vinculados al exploit contra Kelp DAO en un intento por mitigar las pérdidas.

Según una actualización del martes compartida por Arbitrum, el Consejo de Seguridad de la red incautó 30,766 ETH de una dirección en Arbitrum One vinculada al ataque del fin de semana y los transfirió a una cartera intermediaria congelada.

Arbitrum dijo que la acción se realizó sin interrumpir la red ni afectar la actividad de los usuarios. Los fondos permanecerán bloqueados a menos que la gobernanza apruebe pasos adicionales.

“El Consejo de Seguridad actuó con aportes de las fuerzas de seguridad sobre la identidad del explotador y, en todo momento, sopesó su compromiso con la seguridad e integridad de la comunidad de Arbitrum sin afectar a ningún usuario o aplicación de Arbitrum”, dijo el equipo.

La brecha del sábado apuntó al puente de Kelp DAO impulsado por LayerZero, donde los atacantes drenaron 116,500 rsETH valorados en aproximadamente $292 million, convirtiéndolo en uno de los mayores exploits DeFi hasta la fecha este año.

Hallazgos preliminares de LayerZero señalaron al grupo Lazarus de Corea del Norte, con el atacante supuestamente comprometiendo nodos RPC usados por la red verificada descentralizada.

Dos nodos fueron envenenados mientras que un tercero fue objeto de un ataque DDoS, lo que permitió que un mensaje cross-chain falso pasara la verificación y se minaran rsETH de forma ilegítima.

Parte de esos activos robados apareció más tarde en Aave V3, donde el explotador depositó grandes cantidades de rsETH como colateral para pedir prestado wrapped ETH, lo que generó preocupación por posible deuda incobrable en el protocolo.

Kelp DAO afirmó que actuó rápidamente pausando contratos y poniendo en lista negra carteras vinculadas al atacante, evitando que se drenaran otros 40,000 rsETH, por un valor aproximado de $95 million.

La disputa sobre la configuración de seguridad se intensifica

LayerZero ha criticado el uso por parte de Kelp DAO de una configuración de red verificada descentralizada 1-of-1, argumentando que creó un único punto de fallo sin verificación independiente.

“LayerZero y otras partes externas comunicaron previamente buenas prácticas sobre la diversificación de DVN a Kelp DAO”, dijo la firma, y añadió que el proyecto “optó por utilizar una configuración DVN 1/1”.

Kelp DAO respondió, afirmando que la configuración no fue una decisión independiente sino la configuración predeterminada proporcionada.

“La configuración DVN 1-of-1 es la documentación registrada en la documentación de LayerZero y se entrega como predeterminada para cualquier nuevo despliegue OFT”, dijo Kelp, añadiendo que el arreglo había sido “afirmativamente confirmado como apropiado” durante discusiones previas.

Aave modela el impacto mientras las pérdidas se propagan por DeFi

Evaluaciones de riesgo separadas de socios del ecosistema de Aave describieron dos posibles resultados dependiendo de cómo se gestionen las pérdidas.

Un escenario reparte las pérdidas entre todos los poseedores de rsETH en todas las cadenas, lo que conducirá a alrededor de $123.7 million en deuda incobrable y a un desanclaje de aproximadamente el 15% respecto a ETH.

Otro escenario aísla las pérdidas a mercados layer 2 como Arbitrum y Mantle, donde el impacto podría ascender a $230.1 million.

Aave señaló que su tesorería posee alrededor de $181 million, con respaldos adicionales como su modelo Umbrella disponibles en ciertos casos. Aun así, el resultado final depende de cómo Kelp DAO contabilice las pérdidas y ajuste el precio en su oráculo.

La presión ya se ha manifestado en el protocolo, con cerca de $10 billion en valor saliendo de Aave desde el exploit.

Al cierre de esta publicación, Kelp DAO dijo que todavía está revisando el incidente y trabajando con LayerZero, Aave y otras partes interesadas en planes de recuperación y en una vía para reanudar las operaciones de forma segura.