Kelp DAO veröffentlichte am 21. April eine Stellungnahme, um die Kritik von LayerZero an ihrer 1/1 DVN-Konfiguration zurückzuweisen und die grundlegende Verantwortung für den diesmaligen 292-Millionen-US-Dollar-Sicherheitsvorfall auf die LayerZero-Infrastruktur zu verweisen. Aave veröffentlichte einen Bericht zur Bewertung der Auswirkungen des Ereignisses: Bei einer Annahme gleichmäßiger Verteilung der Verluste etwa 124 Millionen US-Dollar, bei einer Situation, in der sich die Verluste auf L2 konzentrieren, maximal bis zu 230 Millionen US-Dollar.
Die Erwiderung von Kelp DAO: DVN-Standardkonfiguration und das Angriffsziel sind die LayerZero-Infrastruktur
LayerZero hatte zuvor in seinem Ereignisbericht kritisiert, dass Kelp DAO die 1/1-DVN-Konfiguration verwendet und dadurch eine Single Point of Failure entsteht, und behauptet, dass es zuvor Best Practices zur dezentralen Verifikation an Kelp DAO übermittelt habe. Kelp DAO reagierte darauf direkt: „Die 1-zu-1-DVN-Konfiguration ist die in den LayerZero-Dokumenten festgehaltene Standardkonfiguration und gilt für alle neuen OFT-Deployments. Seit Januar 2024 läuft Kelp auf der LayerZero-Infrastruktur, und diese Konfiguration wurde während der L2-Erweiterung ausdrücklich als angemessen bestätigt.“
Kelp DAO wies außerdem darauf hin, dass ihre Gegenmaßnahmen weitere Verluste wirksam verhinderten – sie pausierten alle relevanten Verträge, setzten die mit dem Angreifer verknüpften Wallets auf eine Blacklist und kontaktierten SEAL-911. Diese Maßnahmen verhinderten erfolgreich den Versuch des Angreifers, weitere 40.000 rsETH (etwa 95,0 Mio. US-Dollar) durch das Fälschen von Datenpaketen erneut zu stehlen.
Aave-Kreditbuchanalyse: Zwei Szenarien, bis zu 230 Millionen US-Dollar
(Quelle: Aave)
Der Angreifer stellte 89.567 rsETH (etwa 221 Mio. US-Dollar) als Aave-V3-Kollateral bereit, lieh 82.650 WETH und 821 wstETH aus, wodurch die Health Factors der jeweiligen Positionen äußerst niedrig waren. Aave bewertete zwei Annahmeszenarien:
Szenario 1 (gleichmäßige Verteilung): Der Verlust von rund 112.204 rsETH wird gleichmäßig auf alle Ketten verteilt, rsETH de-peg um 15,12 %, der gesamte Aave-Forderungsausfall liegt bei etwa 123,7 Mio. US-Dollar. Der absolute größte Verlust im Kernmarkt Ethereum beträgt 91,8 Mio. US-Dollar, aber bei ausreichenden WETH-Reserven beträgt die Lücke nur 1,54 %; im Mantle-Markt ist der Lückenanteil am höchsten und erreicht 9,54 %.
Szenario 2 (Verlustkonzentration auf L2): Die Verluste konzentrieren sich auf L2 rsETH, das L2-Kollateral wird um 73,54 % gekürzt, die Forderungsausfälle im L2-Markt (Mantle, Arbitrum, Base) erreichen 230,1 Mio. US-Dollar, während rsETH im Ethereum-Mainnet vollständig abgesichert ist.
Aave weist darauf hin: „Welche Situation eintritt, hängt davon ab, wie Kelp rsETH bilanziert und wie der LRTOracle-Umrechnungskurs aktualisiert wird – das sind Entscheidungen, die Aave nicht kontrollieren kann.“
Aaves Kapitalpuffer und nachfolgende Pläne
Im Szenario eins kann der von Aave gehaltene WETH-Umbrella-Fonds in Höhe von 54 Mio. US-Dollar als anfängliche Sicherheit dienen; im Szenario zwei wird dieser Fonds nicht ausgelöst. Aave DAO hält derzeit Vermögenswerte in Höhe von 181 Mio. US-Dollar und hat bereits mehrere Zusagen von Teilnehmern aus dem Ökosystem erhalten, Unterstützung im Falle der Forderungsausfälle bereitzustellen. Kelp DAO erklärte, dass man derzeit mit Aave, LayerZero und allen wichtigen Stakeholdern zusammenarbeitet, um die nächsten Schritte zur Wiederaufnahme des Betriebs der Vereinbarungen sowie mögliche Minderungsmaßnahmen parallel zu bewerten.
Häufige Fragen
Worum geht es im Kern der Streitfrage zur Verantwortlichkeit zwischen Kelp DAO und LayerZero?
Der Streit dreht sich um die 1/1-DVN-Konfiguration. LayerZero ist der Ansicht, dass die Verwendung einer Konfiguration mit nur einem DVN durch Kelp DAO eine Single Point of Failure erzeugt und dass es zuvor Sicherheitsratschläge gegeben habe. Kelp DAO widerspricht: 1/1-DVN ist die von LayerZero für alle neuen Deployments festgelegte Standardvorgabe, und während der L2-Erweiterung wurde sie von LayerZero als geeignet bestätigt; die eigentliche Sicherheitslücke liege darin, dass die eigenen LayerZero-RPC-Knoten angegriffen und kompromittiert wurden.
Wie wurden die zwei Aave-Forderungsausfall-Szenarien berechnet?
Szenario eins nimmt an, dass der Verlust von rund 112.204 rsETH gleichmäßig auf alle Ketten verteilt wird, rsETH de-peg um 15,12 %, was zu einem Aave-Forderungsausfall von etwa 123,7 Mio. US-Dollar führt. Szenario zwei nimmt an, dass sich die Verluste auf L2 konzentrieren; das L2-rsETH-Kollateral wird um 73,54 % gekürzt, und die Forderungsausfälle im L2-Markt erreichen 230,1 Mio. US-Dollar. Die entscheidende Abweichung zwischen den beiden Szenarien liegt darin, wie Kelp letztlich die Verantwortung für die Verlustverteilung zuweist.
Welche Kapitalressourcen hat Aave, um potenzielle Forderungsausfälle zu bewältigen?
Aave verfügt über den WETH-Umbrella-Fonds in Höhe von 54 Mio. US-Dollar (im Szenario eins verfügbar), Aave-DAO-Vermögenswerte in Höhe von 181 Mio. US-Dollar sowie mehrere Zusagen zur Unterstützung durch Teilnehmer aus dem Ökosystem. Wenn der Forderungsausfall die oben genannten Puffer übersteigt, könnten gemäß dem Sicherheitsmodul-Design von Aave die von Inhabern von stkAAVE gehaltenen Staking-Token über einen Slashing-Mechanismus dafür sorgen, dass der verbleibende Fehlbetrag abgesichert wird.
