L'Arbitrum DAO a adopté jeudi un vote de gouvernance approuvant le déblocage d'environ 70 millions de dollars en ETH gelés dans le cadre d'un effort de récupération coordonné visant à indemniser les victimes de l'exploit rsETH de Kelp DAO, bien qu'une décision d'un tribunal fédéral américain puisse encore bloquer le transfert.
La proposition, co-écrite par Aave Labs, KelpDAO, LayerZero, EtherFi et Compound, a été adoptée avec 182,2 millions de votes favorables, soit environ 90,96 %, contre une opposition négligeable.
Les 30 765,67 ETH ont été gelés par le Conseil de sécurité d'Arbitrum le mois dernier, quelques jours après qu'un attaquant a exploité une faille dans le pont inter-chaînes de Kelp alimenté par LayerZero, libérant 116 500 rsETH sur Ethereum sans gravure correspondante côté source.
L'attaquant a ensuite utilisé les rsETH non garantis comme garantie sur Aave pour siphonner environ 230 millions de dollars en ETH appartenant aux utilisateurs du protocole.
Le vote détermine où iront les fonds, approuvant leur transfert vers un Gnosis Safe 3-de-4 contrôlé par des représentants d'Aave, KelpDAO, EtherFi et Certora, pour être utilisé exclusivement pour l'effort de récupération des rsETH.
Mais un avis de saisie conservatoire déposé le 1er mai dans le district sud de New York assombrit désormais la voie de l'exécution.
Des plaignants détenant des jugements impayés depuis des décennies contre la Corée du Nord, citant l'attribution en ligne du piratage au groupe Lazarus, ont obtenu l'autorisation du tribunal de signifier l'avis à Arbitrum DAO, notant que les ETH gelés constituent des biens de la RPDC sujets à saisie pour satisfaire leurs jugements.
Dans une requête déposée lundi, Aave LLC a demandé au tribunal d'annuler l'avis de saisie conservatoire comme étant sans fondement et, s'il subsiste, d'exiger des plaignants qu'ils déposent une caution d'au moins 300 millions de dollars, soutenant que le gel cause un préjudice immédiat et irréparable aux utilisateurs.
« La réponse honnête est : techniquement possible, mais pratiquement suicidaire pour quiconque est nommé dans l'exécution », a déclaré Yuriy Brisov, associé chez Digital & Analogue Partners, à Decrypt, lorsqu'on lui a demandé si l'avis de saisie rendait l'exécution légalement impossible.
« La Cour d'appel de New York a statué dans l'affaire Aspen Industries c. Marine Midland Bank qu'un avis de saisie 'sert de type d'injonction' », a déclaré Brisov. « Le CPLR §5251 en rend alors la conséquence explicite : refuser d'y obéir est passible d'outrage au tribunal. »
Les clés privées signent toujours, a-t-il noté, et la chaîne ne se soucie pas d'un tribunal de New York, mais toute personne identifiable dans la chaîne d'exécution a maintenant été signifiée.
« Une fois que ces personnes ont une connaissance effective de l'avis, déplacer les ETH est un outrage », a ajouté l'expert.
L'indemnisation « ne couvre pas la responsabilité pour outrage au tribunal », ce qui signifie que toute personne exécutant le transfert pourrait être tenue pour responsable d'outrage au tribunal, et la « question réaliste », a déclaré Brisov, est de savoir si quelqu'un aux États-Unis prendrait ce risque — expliquant pourquoi Aave conteste le gel sur le fond plutôt que d'argumenter que la chaîne est hors de portée américaine.
Sur la question de savoir si une décision favorable rétablirait l'exécution, Brisov a répondu « pour ce transfert spécifique, oui », mais pas plus largement, expliquant que l'affaire repose sur l'action du Conseil de sécurité du 21 avril qui « a prouvé… qu'un point de contrôle existe » — ce qui signifie que même si le gel est levé, « les futurs plaignants ont maintenant une feuille de route » pour des réclamations similaires.
« Lever un avis ne lève pas la visibilité de l'architecture qui l'a invité », a-t-il déclaré.
Lever le gel « supprime l'obstacle le plus immédiat », mais le vote n'est pas auto-exécutoire, a déclaré Alice Frei, responsable juridique et conformité chez OMI, à Decrypt, notant que le déblocage dépend toujours de toutes les étapes de gouvernance et du risque juridique continu, car les plaignants pourraient continuer à contester si l'ETH est une « propriété saisissable », ce qui signifie que même une victoire pour Aave ne garantira pas une « exécution sans accroc ».
L'exploit de Kelp DAO a déclenché un effort de récupération « DeFi United » qui a collecté plus de 300 millions de dollars, les 30 765 ETH gelés sur Arbitrum couvrant une partie d'un déficit estimé à 76 127 rsETH, tandis que la proposition elle-même n'entraîne aucun coût nouveau pour la DAO.
