Une coalition de cinq protocoles DeFi a déposé une Constitutional AIP sur le forum de gouvernance d’Arbitrum le 25 avril, demandant au Arbitrum DAO de débloquer 30 765,67 ETH gelés après l’exploit de KelpDAO du 18 avril.
Points clés :
- Aave Labs, KelpDAO et trois autres protocoles ont déposé une Constitutional AIP le 25 avril afin de libérer 30 765,67 ETH gelés par le Security Council d’Arbitrum.
- L’exploit du pont KelpDAO a créé un déficit de couverture en rsETH d’environ 76 127 rsETH, impactant directement les utilisateurs d’Aave V3 Arbitrum.
- Si le Arbitrum DAO approuve le vote, le processus de gouvernance de 49 jours acheminera les ETH récupérés vers un Gnosis Safe 2-of-3 pour la remédiation en rsETH.
La coalition DeFi vise le Arbitrum DAO pour débloquer l’ETH gelé dans l’exploit rsETH de KelpDAO
La proposition a été rédigée par Aave Labs, KelpDAO, Layerzero, Etherfi et Compound. Elle demande au Arbitrum DAO d’envoyer l’ETH gelé vers un Gnosis Safe 2-of-3 désigné, contrôlé par des signataires issus d’Aave, KelpDAO et Certora. L’adresse de récupération est 0xf228130ce4fAB082C7D5522c90833cec83A9C15e.
Le Arbitrum Security Council a gelé 30 765,667501709008927568 ETH le 21 avril. Le conseil a transféré ces fonds vers 0x0000000000000000000000000000000000000DA0 et a précisé qu’un vote de gouvernance serait requis avant qu’ils puissent être déplacés à nouveau.
L’exploit provient d’une vulnérabilité de pont dans le système KelpDAO rsETH. D’après un rapport d’incident Llamarisk, le pont KelpDAO rsETH Unichain-to-Ethereum a libéré 116 500 rsETH sur Ethereum sans brûlure correspondante côté source, rompant l’invariant central du pont selon lequel l’rsETH verrouillé côté Ethereum doit couvrir la quantité émise sur la chaîne distante.
Au moment du rapport, il ne restait que 40 373 rsETH dans l’adapter, comme confirmé par la couverture des 152 577 rsETH dans les revendications de la chaîne distante. Le déficit de couverture qui en résulte se situe à environ 76 127 rsETH.
Pendant l’exploit, l’attaquant a fourni 89 567 rsETH à Aave sur ses marchés Ethereum Core et Arbitrum, puis a emprunté 82 650 WETH plus 821 wstETH contre ces positions. Les auteurs de la proposition ont été explicites : les contrats intelligents d’Aave n’ont pas été compromis. L’incident est né en dehors du protocole.
Les 30 765,67 ETH détenus sur Arbitrum représentent une contribution significative pour combler ce déficit. La proposition indique que chaque unité d’ETH renvoyée à l’effort de récupération réduit l’écart de couverture et rapproche rsETH d’une couverture intégrale.
Si la gouvernance approuve la libération, les fonds seront utilisés uniquement pour remédier aux pertes découlant de l’exploit. Si la récupération coordonnée ne se déroule pas comme prévu, les parties se sont engagées à revenir vers la gouvernance d’Arbitrum pour obtenir des orientations supplémentaires.
Le calendrier de la proposition estime environ 49 jours entre la publication sur le forum et l’exécution. Cela inclut une discussion d’une semaine sur le forum, une vérification de température d’une semaine, un délai de vote de trois jours, un vote onchain de 14 jours, une période d’attente L2 de huit jours, une fenêtre de finalisation du message L2-to-L1 d’une semaine, ainsi qu’une dernière période d’attente L1 de trois jours.
Aucune nouvelle allocation du trésor n’est demandée. La proposition ne demande que la libération des fonds déjà gelés sur Arbitrum One. Le coût budgétaire direct pour le Arbitrum DAO devrait être nul en dehors des frais habituels liés à l’exécution de la gouvernance.
Aave Labs a inclus dans la proposition un engagement complet d’indemnisation. La société a accepté d’indemniser la Arbitrum Foundation, Offchain Labs, le Arbitrum Security Council et chacun de ses membres contre toute réclamation découlant du gel, de la libération ou de toute action d’exécution connexe.
Un contrôle de température Snapshot peut être réalisé avant que la proposition ne passe onchain. Si elle avance, le vote onchain sera soumis via Tally et visera le gouverneur Arbitrum Core en tant que Constitutional AIP.
Les auteurs ont indiqué que l’issue pour les utilisateurs d’Arbitrum est meilleure que de laisser les fonds gelés, que la récupération soit totale ou partielle.
