Der Vorschlag der Arbitrum DAO, fast 71 Millionen US-Dollar an eingefrorenem Ether freizugeben, die mit dem Kelp DAO Exploit in Verbindung stehen, hat vor der endgültigen On-Chain-Governance-Abstimmung überwältigende Unterstützung erhalten.
Laut Snapshot-Abstimmungsdaten unterstützten mehr als 90,5 % der teilnehmenden Abstimmungsberechtigten den Vorschlag, bevor das Abstimmungsfenster am Donnerstag um 18:54 Uhr UTC schließen sollte, wobei 173,9 Millionen ARB-Token dafür abgegeben wurden. Rund 18,1 Millionen ARB, was 9,4 % der Stimmen entspricht, enthielten sich, während weniger als 2.000 ARB-Token gegen die Maßnahme waren.
Der von Aave Labs, Kelp DAO, LayerZero, EtherFi und Compound mitverfasste Vorschlag würde 30.765 ETH freigeben, die der Sicherheitsrat von Arbitrum am 21. April eingefroren hatte, nachdem der Angreifer hinter dem Kelp DAO Exploit Assets auf Arbitrum One verschoben hatte. Zu aktuellen Preisen sind die eingefrorenen ETH etwa 71 Millionen US-Dollar wert.
Arbitrum erklärte damals, dass der Sicherheitsrat in Absprache mit den Strafverfolgungsbehörden bezüglich der Identität des Exploiter handelte und die Assets in eine kontrollierte Wallet übertrug, ohne die Netzwerkaktivität oder Benutzeranwendungen zu beeinträchtigen.
Die jüngste Abstimmung bringt die „DeFi United“-Wiederherstellungsinitiative einem verbindlichen On-Chain-Vorschlag näher, der über Tally als „Constitutional Arbitrum Improvement Proposal“ eingereicht würde. Bei Genehmigung würden die ETH in eine Wiederherstellungs-Wallet transferiert, die über eine 3-von-4 Gnosis Safe von Vertretern von Aave Labs, Kelp DAO, Certora und EtherFi kontrolliert wird.
Zuvor beim US-Bezirksgericht für den südlichen Bezirk von New York eingereichte Gerichtsakten führten konkurrierende Ansprüche über dieselben Gelder ein, nachdem Kläger, die mit unbezahlten terrorbezogenen Urteilen gegen Nordkorea verbunden waren, versuchten, jede Bewegung der ETH zu unterbinden.
Anwälte, die die Kläger vertraten, argumentierten, dass die eingefrorenen Assets Eigentum der Demokratischen Volksrepublik Korea darstellten, da die Untersuchung von LayerZero den Exploit der nordkoreanischen Lazarus Group zugeschrieben hatte. Die Einreichung nannte sowohl die Lazarus Group als auch APT-38 als Instrumente der DVRK unter rechtlichen Argumenten, die an den Foreign Sovereign Immunities Act und den Terrorism Risk Insurance Act gebunden sind.
Gerstein Harrow LLP reichte die Klage im Namen von Han Kim und Yong Seok Kim ein, deren Fall aus der Tötung von Reverend Kim Dong-shik durch nordkoreanische Agenten stammt. Die kombinierten Ansprüche aus drei getrennten Urteilen überstiegen laut Einreichung 877 Millionen US-Dollar vor Zinsen.
Der Wiederherstellungsvorschlag der Arbitrum DAO enthielt auch eine von Aave Labs ausgearbeitete Freistellungsklausel, um die Arbitrum Foundation, Offchain Labs und Mitglieder des Sicherheitsrats vor Ansprüchen im Zusammenhang mit dem Einfrieren oder der Freigabe der Assets zu schützen.
Selbst wenn der Governance-Vorschlag letztendlich angenommen wird, weist der Wiederherstellungsplan laut den Autoren des Vorschlags immer noch eine Lücke von ungefähr 76.127 rsETH auf, die derzeit etwa 174,5 Millionen US-Dollar wert sind.
An der Initiative „DeFi United“ teilnehmende Protokolle, darunter Mantle, EtherFi Foundation, Lido DAO, Ethena, Golem Foundation, Ink Foundation, LayerZero und Tydro, haben zusammen rund 43.000 ETH im Wert von etwa 101 Millionen US-Dollar zugesagt, um die Folgen des Exploits einzudämmen und die rsETH-Deckung teilweise wiederherzustellen.
Der Exploit selbst entzog am 18. April etwa 116.500 rsETH im Wert von fast 292 Millionen US-Dollar der LayerZero-gestützten Bridge von Kelp DAO. LayerZero erklärte, seine Untersuchung habe ergeben, dass kompromittierte RPC-Nodes und eine 1-zu-1 dezentralisierte Verifizierernetzwerkkonfiguration gefälschte Cross-Chain-Nachrichten ermöglichten, um ungedeckte rsETH zu prägen.
Kelp DAO bestritt die Kritik von LayerZero an der Bridge-Konfiguration und erklärte, dass das Setup dem dokumentierten Standard-Deployment-Framework von LayerZero folgte und zuvor mit dem Protokoll besprochen worden war.
