Der jüngste größte Hackerangriff im DeFi-Bereich hat neue Entwicklungen. Am Dienstag ergriff der Arbitrum-Sicherheitsrat Maßnahmen und fror etwa 71 Millionen US-Dollar an gestohlenen Geldern ein, doch der Angreifer reagierte fast sofort. Der Vorfall begann, als ein unbekannter Angreifer eine Schwachstelle in der LayerZero-basierten Cross-Chain-Bridge von Kelp DAO ausnutzte und 116.500 rsETH im Wert von etwa 292 Millionen US-Dollar stahl, was etwa 18 % der gesamten Umlaufmenge des Tokens ausmacht.
Die gestohlenen rsETH wurden anschließend als Sicherheit bei Aave V3 hinterlegt, und etwa 196 Millionen US-Dollar an Wrapped Ethereum wurden geliehen, was dazu führte, dass Aave mit faulen Krediten belastet wurde, für die es nicht verantwortlich war, und eine Vertrauenskrise im DeFi-Bereich in der vergangenen Woche auslöste. Der Arbitrum-Sicherheitsrat froren 30.766 ETH (im Wert von etwa 71 Millionen US-Dollar) ein und überwies sie auf eine von der Governance kontrollierte Wallet. Dies war ein schnelles und bedeutungsvolles Eingreifen.
Der Angreifer blieb nicht untätig. Innerhalb weniger Stunden nach den Maßnahmen von Arbitrum begann der Hacker, Gelder zu transferieren. Arkham-Daten bestätigen, dass der Kelp DAO-Hacker alle 75.701 ETH (etwa 175 Millionen US-Dollar) transferiert hat und mit der Geldwäsche begonnen hat. Die Einfrieraktion von Arbitrum konnte erfolgreich 71 Millionen US-Dollar abfangen, aber der größere Anteil von 175 Millionen US-Dollar hat begonnen, sich zu bewegen und wird aktiv verschleiert.
Dieses Ergebnis hat eine Debatte ausgelöst, die weit über Kelp DAO und Aave hinausgeht. Die Fähigkeit von Arbitrum, Wallet-Adressen einzufrieren (selbst bei eindeutigen Diebstählen), wirft sofort Fragen darüber auf, was Blockchain-Unveränderlichkeit in der Praxis bedeutet und wer das Recht hat, sie außer Kraft zu setzen. Für einige ist dies eine verantwortungsvolle Krisenreaktion eines ausgereiften Ökosystems zum Schutz der Nutzer; für andere ist dies genau die zentralisierte Intervention, die dezentrale Infrastrukturen verhindern sollen.
Unbestritten ist, dass dieser Angriff dem breiten Vertrauen in DeFi geschadet hat. Die Kelp DAO-Schwachstelle hat das Kollateralrisiko von Kreditprotokollen offengelegt, was zu einem Abfluss von 8,45 Milliarden US-Dollar aus Aave führte, den Preis des AAVE-Tokens um fast 20 % fallen ließ und in einem Moment, in dem das Ökosystem Vertrauen zeigen musste, eine philosophische Konfrontation über die Grenzen der Dezentralisierung auslöste.