Le plus grand piratage récent dans le domaine DeFi connaît de nouveaux développements. Mardi, le conseil de sécurité d'Arbitrum a pris des mesures pour geler environ 71 millions de dollars de fonds volés, mais le pirate a réagi presque immédiatement. Cet incident a commencé lorsqu'un attaquant inconnu a exploité une vulnérabilité du pont cross-chain de Kelp DAO basé sur LayerZero, volant 116 500 rsETH, d'une valeur d'environ 292 millions de dollars, soit environ 18% de l'offre totale en circulation de ce jeton.
Les rsETH volés ont ensuite été déposés sur Aave V3 comme garantie, et environ 196 millions de dollars d'Ethereum enveloppé ont été empruntés, laissant Aave avec des créances douteuses qu'il n'a pas causées et déclenchant une crise de confiance dans le secteur DeFi la semaine dernière. Le conseil de sécurité d'Arbitrum a gelé 30 766 ETH (d'une valeur d'environ 71 millions de dollars) et les a transférés dans un portefeuille contrôlé par la gouvernance. Il s'agit d'une intervention rapide et significative.
L'attaquant n'est pas resté inactif. Quelques heures après l'action d'Arbitrum, le pirate a commencé à déplacer les fonds. Les données d'Arkham confirment que le pirate de Kelp DAO a transféré la totalité des 75 701 ETH (environ 175 millions de dollars) et a commencé à blanchir l'argent. L'action de gel d'Arbitrum a réussi à intercepter 71 millions de dollars, mais la part restante plus importante de 175 millions de dollars a commencé à circuler et est activement dissimulée.
Ce résultat a déclenché un débat qui dépasse largement Kelp DAO et Aave. La capacité d'Arbitrum à geler les adresses de portefeuille (même en cas de vol avéré) a immédiatement soulevé des questions sur ce que signifie l'immuabilité de la blockchain en pratique et qui a le pouvoir de la renverser. Pour certains, il s'agit d'une réponse responsable à une crise par un écosystème mature pour protéger les utilisateurs ; pour d'autres, c'est précisément le type d'intervention centralisée que l'infrastructure décentralisée vise à prévenir.
Il est incontestable que cette attaque a porté atteinte à la crédibilité générale de DeFi. La vulnérabilité de Kelp DAO a exposé les risques de garantie des protocoles de prêt, provoquant une fuite de capitaux de 8,45 milliards de dollars sur Aave, entraînant une baisse de près de 20% du prix du jeton AAVE, et déclenchant une confrontation philosophique sur les limites de la décentralisation à un moment où l'écosystème avait le plus besoin de montrer sa confiance.