DeFi领域近期最大规模的黑客攻击事件出现新进展。周二,Arbitrum安全理事会采取行动,冻结了约7100万美元的被盗资金,但攻击者几乎立即做出反应。此次事件始于一名未知攻击者利用Kelp DAO基于LayerZero的跨链桥漏洞,盗取了116,500枚rsETH,价值约2.92亿美元,约占该代币总流通量的18%。
被盗的rsETH随后被存入Aave V3作为抵押品,并借出了约1.96亿美元的封装以太坊,导致Aave背负了并非由其造成的坏账,并引发了上周DeFi领域的信心危机。Arbitrum安全理事会冻结了30,766枚ETH(价值约7100万美元),并将其转入一个由治理控制的钱包。这是一次迅速且有意义的干预。
攻击者并未坐以待毙。在Arbitrum行动后数小时内,黑客开始转移资金。Arkham数据证实,Kelp DAO黑客已转移了全部75,701枚ETH(约1.75亿美元)并开始洗钱。Arbitrum的冻结行动成功截获了7100万美元,但其余更大份额的1.75亿美元资金已开始流动并被积极隐匿。
这一结果引发了一场远超Kelp DAO和Aave范围的辩论。Arbitrum冻结钱包地址的能力(即使是对明确的盗窃行为)立即引发了关于区块链不可变性在实践中意味着什么,以及谁有权推翻它的质疑。对于一些人来说,这是成熟生态为保护用户做出的负责任的危机应对;对另一些人而言,这恰恰是去中心化基础设施旨在防止的中心化干预。
无可争议的是,此次攻击对DeFi的广泛信誉造成了损害。Kelp DAO漏洞暴露了借贷协议的抵押品风险,引发Aave资金外流达84.5亿美元,导致AAVE代币价格下跌近20%,并在生态系统最需要展现信心的时刻,引发了一场关于去中心化限度的哲学对峙。