DeFi United 公布 Kelp DAO 的 $292M rsETH 漏洞修复计划

DeFi United，这一由DeFi生态系统参与者组成的联盟，已根据The Block发布了一份技术计划，以在4月18日$292 百万次漏洞利用之后，恢复Kelp DAO的rsETH全部资金支持。该漏洞利用被广泛认为归因于朝鲜的Lazarus Group，攻击了Kelp DAO的rsETH桥，使用了伪造消息，使攻击者能够铸造116,500个未获资金支持的rsETH代币。约107,000个rsETH最终进入了Aave的借贷头寸，导致该协议出现了巨额坏账。

DeFi United联盟成立

据The Block报道，由Aave牵头，数十个DeFi协议向DeFi United倡议提供资金，以减轻更广泛的行业影响，筹集了超过$300 百万的ETH承诺。随着该倡议获得足够的ETH承诺，Aave宣布DeFi United已准备好启动恢复流程。

三阶段恢复流程

该恢复计划由三个协调阶段组成，旨在在不将损失在整个生态系统中“社会化”的情况下恢复rsETH。

第一阶段：ETH到rsETH的转换

“恢复过程涉及将已承诺的ETH分批转换为rsETH，随后将其转移到受影响的托管合约（lockbox）中，从而使桥能够安全地恢复充分运作，”联盟在一份声明中表示。该计划须获得相关治理批准、执行时间表，以及签署确定性协议（definitive agreements）的执行条件，声明称。

第二阶段：处置受影响的头寸

与rsETH恢复同步，该恢复计划旨在清理Aave以太坊核心（Aave Ethereum Core）和Arbitrum市场中的8个受影响头寸，这是为了在Aave中回收约13,000 ETH资金的必要步骤。该过程包括一个可控的清算顺序，在其中rsETH预言机价格将被暂时调整，以便高效清算这8个受影响头寸。被清算的rsETH抵押品将被转移到一个由DeFi United控制的多重签名（multisig）中，通过KelpDAO兑换为ETH，随后用于偿还在Aave市场中产生的任何临时缺口。

同样也受到该漏洞利用影响的Compound预计将采取类似步骤清除攻击者的头寸。这将回收大约16,776 ETH价值的资金。

第三阶段：解除暂停并恢复配置

“该恢复过程的最终阶段包括在所有受影响的实例中解除rsETH和ETH的暂停并解冻，以及为ETH以及任何其他其配置被暂时调整的资产恢复贷款价值比(LTV)（Loan-to-Value）比率，”声明补充道。

关键风险与应对措施

该计划旨在在不社会化损失的情况下恢复rsETH，但仍存在风险。一个关键担忧是，恢复计划的部署取决于最终协议的敲定和治理批准的获得，而在此期间攻击者可能试图进行干扰。声明称：“攻击者的蓄意干扰可能导致未能完整计提缺口，从而需要额外的清算步骤，才能彻底解决这些头寸。”

此外，漏洞利用之后在LayerZero和Kelp DAO上的新的安全措施仍处于“生产中”，意味着尚未经过实战检验，安全风险可能依然存在。声明解释称，这就是为什么将进行ETH到rsETH的转换以及托管合约存款的分多批次操作。

“按照计划成功协调执行这些步骤，确保rsETH资金支持得到完全恢复，并使所有受影响的市场保持稳定，”声明称。“随着恢复工作推进，将在公开层面通报进展。”