Am 18. April, bei dem Kelp DAO den rsETH-Over-Chain-Bridge angegriffen hatte, wodurch 116.500 rsETH (rund 292 Millionen US-Dollar) abgezogen wurden, ist inzwischen zwei Wochen her. Kelp teilte am 29. April mit, dass das gesamte Bridge-Upgrade abgeschlossen ist; ether.fi veröffentlichte am selben Tag parallel einen dreistufigen Plan zur Härtung der weETH-Sicherheit und ist dem DeFi United-Kollektiv zur gemeinsamen Notfallrettung beigetreten, mit einer Spende von 5.000 ETH. LayerZero, Consensys, Mantle und weitere Parteien haben laut kumulierter Mobilisierung bereits mehr als 70.000 ETH an Rettungsgeldern bereitgestellt; DeFi United ist damit vom Ausbruch des Ereignisses in die Phase der strukturierten Nachbearbeitung übergegangen.
Kelp 4/29 Bridge-Upgrade: Validatoren auf 4-of-4 umgestellt, Ethereum als einziges Drehkreuz
Ursprünglich nutzte der Angreifer am 18. April die Kelp-Bridge so, dass lediglich eine einzelne 1-of-1 DVN (Decentralized Verifier Network)-Konfiguration gesetzt war, um gefälschte Cross-Chain-Nachrichten zu senden und rsETH abzuziehen. Die Härtungsmaßnahmen, die Kelp am 29. April als abgeschlossen meldete, haben das Validierungsmodell und die Topologie neu gestaltet:
Erstens: Die Validierungsknoten wurden von 1 auf 4 unabhängige attestors erweitert—Canary, Horizen, LayerZero Labs, Nethermind—und jeder Ein- und Ausstieg einer Route muss jeweils von allen 4 vollständig bestätigt werden. Der Angreifer muss also gleichzeitig die sichere Betriebsführung der jeweils vier unabhängigen Infrastrukturen und Rechtsräume kompromittieren, um überhaupt eine Cross-Chain-Nachricht fälschen zu können. Zweitens: Die Blockbestätigungen aller Ketten wurden von 42 auf 64 erhöht, wodurch die Kosten von Reorg-Angriffen (reorg attack) steigen. Drittens: Die Topologiestruktur wurde von full mesh auf hub-and-spoke geändert: Direktrouten von L2 zu L2 werden abgeschafft, alle Cross-Chain-Nachrichten müssen zwingend über das Ethereum-Mainnet umgeleitet werden. Damit werden die horizontale Abhängigkeit zwischen L2 entfernt und die Angriffsfläche verkleinert.
In der Ankündigung betonte Kelp: „Jede Einstellung, die von LayerZero-Standardeinstellungen abweicht, ist streng stärker—niemals schwächer“, und erklärte zugleich, man werde weiterhin „erforschen, sicherere Anbieter von Cross-Chain-Infrastrukturen“ einzusetzen, womit ein zukünftiger Austausch von LayerZero angedeutet wurde.
ether.fi härtet weETH synchron nach und tritt DeFi United bei, spendet 5.000 ETH
ether.fi meldete am 29. April um 18:13 UTC: Obwohl das eigene weETH bereits vorab durch die erzwungene Konfiguration von „mehr als 2 DVN“ abgesichert und daher nicht direkt betroffen gewesen sei, führte man auf weETH in allen 20 Einsatzketten dennoch sicherheitsrelevante Härtung auf Protokollebene durch. Die konkreten Upgrades in drei Ebenen:
Erste Ebene Message Library Pinning: Die SendUln302- und ReceiveUln302-Adressen werden direkt in die OApp-Einstellungs-Slots von weETH „gepinnt“, sodass das Multi-Signature-Wallet von LayerZero die Library nicht mehr durch eine Version ersetzen kann, die eine Umgehung der DVN-Verifikation ermöglicht; zweite Ebene DVN-Konfiguration Pinning + 4/4-Schwelle: Fixierung eines festen Sets von vier DVN, wobei jede Cross-Chain-Nachricht eine 4/4-Gesamtpassierung erfordert; wenn ein einziges DVN nicht verfügbar ist oder kompromittiert wird, wird die Nachricht unmittelbar unterbrochen. Dritte Ebene Pair-Wise Rate Limits: Für jede Route (Quellkette, Zielkette) werden konservative Ein- und Ausstiegsobergrenzen für weETH gesetzt; die Limits werden direkt durch die ether.fi-eigenen Contracts kontrolliert und nicht durch die Upstream-Bridge-Provider beeinflusst.
Das Ergebnis des Upgrades lautet: „LayerZeros Multi-Signature kann die Bridge-Einstellungen von weETH on-chain nicht mehr ändern; alle Sicherheitsparameter werden ausschließlich von ether.fi-eigenen Multi-Signatures kontrolliert.“ ether.fi erklärte außerdem, dem DeFi United-Kollektiv beizutreten, und seine Stiftung spendet 5.000 ETH aus der Stiftung in einen spezialisierten Rettungs-Trust-Fund; zudem prüft man die Einführung von Chainlink CCIP oder Wormhole als zweiten Anbieter für Cross-Chain-Nachrichten. Bis Ende Juni sollen zudem die Bridge-Services von weETH auf Scroll, Swell, Bera, zkSync, Mode, Blast, Morph, Sonic und weiteren Ketten deaktiviert werden.
DeFi United seit zwei Wochen: Mobilisiert über 70K ETH, USDC-Leihzinsen reagieren
Die von Aave initiierte DeFi-United-Rettungsallianz, die mehrere DeFi-Protokolle umfasst, expandierte seit dem 24. April innerhalb von zwei Wochen schnell. Wichtige Spenden und Beiträge umfassen: LayerZero Labs sagt mehr als 10.000 ETH zu (5.000 ETH in DeFi United, 5.000 ETH in Aave-Liquiditätspool), Consensys sagt bis zu 30.000 ETH zu, Mantle beabsichtigt, Aave in Form von 30.000 ETH zu leihen, ether.fi Foundation 5.000 ETH, Puffer Finance setzt einen Teil von Treasury-Kapital ein, River bringt 3 Millionen US-Dollar USDT ein. Die Spendensumme von DeFi United hatte am 26. April bereits 100.000 einzelne Spenden-Adressen überschritten.
Die Einspeisung der Rettungsgelder spiegelt sich unmittelbar in den Leihzinssätzen des Aave-Borrowing-Markts wider. Laut On-Chain-Analyse von DefiScope vom 30. April führte die Veröffentlichung der Nachricht, dass Mantle 30K ETH beisteuert, im selben Moment dazu, dass der USDC-Leihzins bei Aave von rund 15% direkt auf 6,23% fiel; die Markt-Auslastung (utilization) sank von nahe 100% auf 91,5%. Das entspricht vor allem einem Zufluss von rund 1 Milliarde US-Dollar an USDC-Rückzahlungen (größtenteils: USDe-Arbitrage-Hebel werden entsperrt). Anders gesagt: „Gemeinsame Rettung“ ist nicht nur PR, sondern die reale Kraft, die Liquiditätsbedingungen im Kreditmarkt neu zu formen.
Allerdings ist die Nachbearbeitung des Ereignisses noch nicht abgeschlossen. On-Chain-Beobachter weisen darauf hin, dass der Angreifer 12 Tage nach dem Angriff weiterhin rund 107.000 rsETH in Aave- und Compound-Nachweispositionen hält—diese Positionen wurden bis heute nicht liquidiert. Der Grund: Das Unwind dieser Positionen erfordert Governance-Vorlagen bei Aave und Compound, vorübergehende Oracle-Änderungen, einen Liquidationsprozess unter Multi-Signature-Kontrolle sowie einen Kelp-Refund-/Redeem-Pfad—das ist eine „komiteeartige Liquidation“, die oft mehrere Wochen dauert. Aave plant, diese 107K rsETH von sieben Angreifer-Adressen zurückzuerheben. Von der technischen Härtung über die Mobilisierung zur kollektiven Rettung bis hin zur Rückholung von Uneinbringlichkeiten (Bad Debt): DeFi koordiniert die „Nachbearbeitung“ in dieser Aktion gerade im ersten echten Stresstest.
Dieser Artikel tauchte am frühesten nach zwei Wochen bei Kelp mit einem umfassenden Bridge-Upgrade sowie der synchronen Härtung von weETH bei Chain News ABMedia auf.
