DeFi United legt Plan zur Wiederherstellung von 292 Mio. US-Dollar nach Kelp-DAO-Hack vor

DeFi United, ein Zusammenschluss von Akteuren aus dem DeFi-Ökosystem, hat nach Angaben von CoinDesk einen technischen Vorschlag veröffentlicht, um die vollständige Hinterlegung von rsETH von Kelp DAO wiederherzustellen. Hintergrund ist ein Betrugsschaden von 292 Mio. US-Dollar. Der Angriff vom 18. April wird weithin der nordkoreanischen Lazarus Group zugeschrieben. Demnach nutzten die Angreifer eine gefälschte Nachricht, kompromittierten die rsETH-Bridge von Kelp DAO und prägten 116.500 nicht gedeckte rsETH-Token. Rund 107.000 dieser Token gelangten später auf die Kreditplattform Aave und verursachten dort erhebliche faule Forderungen. Unter Führung von Aave haben Dutzende DeFi-Protokolle Mittel an die Initiative DeFi United zugesagt, um die Auswirkungen auf die Branche zu begrenzen. Auf Ethereum wurden dabei über 300 Mio. US-Dollar eingesammelt. Da ausreichend ETH-Zusagen vorliegen, sei DeFi United laut Aave bereit, den Wiederherstellungsprozess zu starten. Laut Erklärung soll das zugesagte ETH schrittweise in rsETH umgewandelt und anschließend an die betroffenen Lockup-Verträge transferiert werden, damit die Bridge den Betrieb wieder sicher in vollem Umfang aufnehmen kann. Zusätzlich seien Genehmigungen der zuständigen Aufsichtsbehörden, ein Umsetzungszeitplan und die Unterzeichnung einer finalen Vereinbarung erforderlich. Parallel zur Wiederherstellung von rsETH sieht der Plan die Liquidation von acht betroffenen Positionen in den Aave-Märkten Ethereum Core und Arbitrum vor. Dies gilt als notwendiger Schritt, um rund 13.000 ETH auf Aave zurückzugewinnen. Vorgesehen ist eine kontrollierte Liquidationsabfolge, bei der der Oracle-Preis von rsETH vorübergehend angepasst wird, um die acht Positionen effizient zu liquidieren. Die liquidierte rsETH-Sicherheit soll an eine von DeFi United kontrollierte Multisignature-Adresse gehen, über KelpDAO in ETH getauscht und anschließend genutzt werden, um temporäre Verluste im Aave-Markt auszugleichen. Auch Compound, das von derselben Schwachstelle betroffen war, soll ähnliche Schritte einleiten, um die Spuren des Angreifers zu beseitigen. Dadurch würden Vermögenswerte im Gegenwert von etwa 16.776 ETH zurückgewonnen. Die Schlussphase umfasst laut Mitteilung das Aufheben von Pausen und Sperren für rsETH und ETH in allen betroffenen Instanzen sowie die Wiederherstellung der Loan-to-Value-(LTV)-Quoten für ETH und weitere Assets, deren Parameter zwischenzeitlich angepasst wurden. Trotz des Ziels, rsETH ohne soziale Verluste wiederherzustellen, bleiben Risiken. Zentral sei, dass die Umsetzung von einer finalen Einigung und behördlicher Zustimmung abhängt; in dieser Zeit könnten die Angreifer versuchen, den Prozess zu stören. Eine gezielte Beeinträchtigung könne dazu führen, dass Verluste nicht vollständig erfasst werden und zusätzliche Liquidationsschritte nötig werden, um die Positionen endgültig zu bereinigen. Zudem befinden sich die nach dem Exploit von LayerZero und Kelp DAO eingeführten neuen Sicherheitsmaßnahmen laut Erklärung noch in der "Production"-Phase und seien bislang nicht unter realen Bedingungen erprobt. Deshalb sollen die Umwandlungen von ETH in rsETH sowie Einzahlungen in die Lockbox in Tranchen erfolgen. DeFi United kündigte an, den Fortschritt der Wiederherstellung öffentlich zu aktualisieren.