同時關聯該項目與事件的快訊
據 The Block 報道,DeFi 借貸協議 Radiant Capital 宣佈將正式關閉運營。該協議於 2024 年 10 月遭遇黑客攻擊,損失約 5100 萬美元,攻擊者通過在 Arbitrum 和 BNB Chain 上部署後門合約獲取未授權訪問權限。此前,該協議在 2024 年初還曾遭受閃電貸攻擊,損失約 1900 枚 ETH(約 450 萬美元)。 經過 18 個月的恢復嘗試,Radiant Capital 表示既未能追回大量被盜資金,也未能成功融資,"DAO 已無可行的前進路徑"。目前協議將進入"維護狀態",前端及智能合約保持可訪問,用戶仍可進行提款、還款及倉位管理操作,若後續追回任何資金將返還給受影響用戶。
Aave 發佈 4 月 18 日 rsETH 事件事後調查稱,流動性質押協議 Kelp 的 rsETH LayerZero V2 跨鏈橋在 Unichain 至 Ethereum 跨鏈過程中接受僞造消息,導致 Ethereum 側適配器釋放 11.65 萬枚 rsETH,而 Unichain 側未發生對應銷燬。Aave 表示,攻擊發生於第三方跨鏈橋基礎設施,但攻擊者將被盜 rsETH 存入 8 個 Aave V3 倉位,並借出 8.265 萬枚 WETH 和 821 枚 wstETH,導致 Aave 市場受影響。Aave 稱,目前攻擊者在 Arbitrum 上的 rsETH 已被銷燬,LayerZero OFT 適配器已分 5 批補入 11.613172 萬枚 rsETH,rsETH 資產支持已完全恢復,受影響 WETH 與 rsETH 市場已恢復正常。
Stake DAO 在 X 平臺發文回應安全事件表示,其團隊其注意到本次安全事件,目前請勿與 vsdCRV 進行交互。此外消息,Arbitrum 上與 Stake DAO 相關合約出現異常,導致 5.4 萬億枚 vsdCRV 被鑄造,安全團隊將此定性爲疑似無限鑄幣漏洞利用。
據鏈上分析師 PeckShield(@PeckShieldAlert)監測,Arbitrum 網絡上的 StakeDAO(@StakeDAOHQ)遭遇無限鑄造漏洞攻擊,攻擊者共鑄造 5.4 萬億枚 vsdCRV,隨後將部分代幣兌換爲 43.781 枚 ETH(約 9.12 萬美元),並將資金跨鏈橋接至以太坊地址 0xeF3C...aa25。
鏈上數據顯示,StakeDAO 部署者私鑰在 Arbitrum 上遭泄露,攻擊者鑄造約 5.45 萬億枚 vsdCRV 部分兌換爲 43.7 枚 ETH。
Chainalysis 在 X 平臺發文表示,THORChain 被盜之前,疑似攻擊者相關錢包已連續數週通過 Monero、Hyperliquid 和 THORChain 轉移資金,攻擊者關聯錢包早在四月底時就通過 Hyperliquid 和 Monero 隱私橋入金 Hyperliquid 頭寸,隨後資金被兌換爲 USDC 並轉至 Arbitrum,再橋接至以太坊,部分 ETH 隨後轉至 THORChain 成爲新加入的節點質押 RUNE,該節點被認爲是攻擊源。之後,攻擊者將部分 RUNE 橋接回以太坊並拆分爲四條鏈路,其中一條直通攻擊者,經過中間錢包轉移後,在攻擊前 43 分鐘向最終接收被盜資金的錢包轉入 8 ETH,其他三條鏈路資金則反向流動。5 月 14 日至 15 日,這些錢包再次將 ETH 橋接回 Arbitrum,存入 Hyperliquid,通過相同隱私橋轉入 Monero,最後一筆交易發生在攻擊開始前不足 5 小時。截至本週五下午,被盜資金暫未動用,但攻擊者已展示其嫺熟的跨鏈洗錢能力,Hyperliquid 到 Monero 路徑可能成爲下一步動作。
據 Cointelegraph 報道,紐約一名法官已推遲審理 Aave 提出的解凍約 7100 萬美元 ETH 的緊急申請,並要求 Aave 與 Gerstein Harrow LLP 補充提交案情說明,新的聽證會定於 6 月 5 日舉行。法院指出,Aave 此前未充分說明若限制令繼續生效,用戶資金爲何會出現“連帶性損失”。相關資產與 Kelp DAO 約 2.93 億美元黑客攻擊事件有關,此前由 Arbitrum 凍結。法官還要求雙方就黑客交易適用法律、欺詐與盜竊的法律區分、債權優先順位、建設性信託是否適用,以及能否按比例向受害者返還資產等問題進一步說明。
Aave 在 X 平臺發文表示,rsETH 技術恢復計劃的首階段步驟已完成,包括在 Arbitrum 上銷燬攻擊者的 rsETH。後續數日內將逐步補充 LayerZero OFT 適配器資金並恢復 rsETH 相關操作。
美國曼哈頓聯邦法官 Margaret Garnett 已批准 Aave 推進其資產追回方案,允許將與朝鮮相關攻擊事件有關、此前凍結在 Arbitrum 上的約 7100 萬美元 ETH 轉入 Aave LLC 控制的錢包,同時保留恐怖主義受害者原告對該筆資金的法律追索權。裁定同時修改了此前針對 Arbitrum DAO 的凍結通知,允許通過鏈上治理投票執行轉移,並豁免發起、投票或參與轉移者在該凍結令下的責任。該轉移仍需經 Arbitrum 鏈上治理正式表決通過。(CoinDesk)
Aave 在 X 平臺發文表示,rsETH 事件恢復技術方案第二階段已取得進展。5 月 6 日,黑客在 Aave V3 上的 8 個頭寸已被清算,收回的 rsETH 抵押品已移交至恢復監護人。Arbitrum DAO 已通過提案,計劃歸還此前追回的 7100 萬美元 ETH。針對原告發起的資金扣押申請,法官已批准 Aave LLC 的提議,允許通過 Arbitrum DAO 鏈上投票將該筆 7100 萬美元 ETH 轉移至 Aave LLC。後續計劃包括銷燬 Arbitrum 上的 rsETH 並恢復 rsETH 儲備金。儲備金恢復後將重新開放提款,並恢復 Aave V3 以太坊核心網絡上的 WETH LTV。
據 The Block 報道,Arbitrum DAO 以 90.96% 的支持率(1.822 億票)投票通過,決定釋放此前凍結的 30,765.6 枚 ETH(約 7000 萬美元),用於支持 DeFi United 計劃,以彌補上月 Kelp DAO 遭受的 2.92 億美元漏洞損失。此次攻擊由疑似朝鮮 Lazarus 黑客組織發起,攻擊者利用 LayerZero 支持的 OFT 跨鏈橋單一驗證者配置漏洞,盜取 116,500 枚 rsETH,並將大部分資產轉入 Aave 作爲抵押,造成約 1.9 億美元壞賬。DeFi United 已獲得多方捐助,包括 Consensys 及 Joseph Lubin 的 3 萬枚 ETH、Mantle 的 3 萬枚 ETH 貸款及 LayerZero 的 5000 枚 ETH。
Aave 表示,按照此前披露的技術恢復方案,攻擊者在 Ethereum 與 Arbitrum 上的 rsETH 頭寸已在 Aave 完成清算,相關抵押資產現已轉移至 AIP 指定的 Recovery Guardian 地址。Aave 稱,此次處理未影響其他用戶,Umbrella 機制也未受到影響,並表示這是整體恢復路線圖中的關鍵步驟,後續仍將繼續推進相關恢復工作。
慢霧創始人餘弦於 X 平臺發文表示,“Ekubo 有關合約被惡意利用。原因是如果用戶之前將相關代幣授權給:0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd;如這位用戶 0x765DEC 的這筆 WBTC 無限授權(158 天前):攻擊者可指定已授權用戶作爲 payer,在 payCallback 中讓該合約調用 WBTC transferFrom(victim, Ekubo Core, amount),再通過 Ekubo Core(0xe0e0e08A6A4b9Dc7bD67BCB7aadE5cF48157d444) 的 withdraw/pay 平賬流程把資產轉給攻擊者。這個操作執行了 85 次,每次 0.2 WBTC,最終用戶 0x765DEC 損失 17 WBTC。建議用戶儘快安裝官方提醒檢查以下合約授權:0x8ccb1ffd5c2aa6bd926473425dea4c8c15de60fd (V2)0x4f168f17923435c999f5c8565acab52c2218edf2 (V3)Arbitrum: 0xc93c4ad185ca48d66fefe80f906a67ef859fc47d (V3)。”
據 Cointelegraph 報道,DeFi 協議 Aave 週一在紐約提交緊急動議,要求撤銷美國律所 Gerstein Harrow LLP 阻止 Arbitrum DAO 向 Kelp 漏洞受害者轉移 30766 枚 ETH 的限制通知。 Gerstein Harrow LLP 上週五向 Arbitrum DAO 送達限制通知,主張其客戶在針對朝鮮的違約判決中應獲賠逾 8.77 億美元。該律所稱,4 月 18 日 Kelp 漏洞背後的朝鮮黑客組織曾持有這些代幣,因此其客戶對相關 ETH 享有法律請求權。
Aave LLC 已提交緊急動議,要求撤銷 2026 年 5 月 1 日針對 ArbitrumDAO 發出的資產凍結通知。該通知涉及約 7100 萬美元 ETH,該部分資產屬於 4 月 18 日攻擊事件中的受損用戶。Aave 表示,被盜資產不因竊取行爲獲得合法所有權,相關資金原本用於返還受影響用戶,凍結反而影響補償進程。Aave 已請求法院舉行緊急聽證會並暫時撤銷凍結措施,同時表示將繼續與 Arbitrum 社區及 DeFiUnited 合作推進用戶補償事宜。
據 Cointelegraph 報道,美國律師事務所 Gerstein Harrow LLP 向紐約地區法院申請限制令及三份執行令狀,要求阻止 Arbitrum DAO 轉移因 Kelp 漏洞而凍結的 30,766 枚 ETH(價值約 7300 萬美元)。該律所主張,其客戶曾於 2010、2015、2016 年在美國法院贏得針對朝鮮的缺席判決,合計享有約 8.77 億美元賠償權益,並認爲上述被盜 ETH 屬於朝鮮關聯財產,理應用於抵償債務。 Kelp DAO 於 4 月 18 日遭受價值 2.92 億美元的黑客攻擊,攻擊者被認定爲朝鮮國家支持黑客組織 Lazarus Group 旗下的 TraderTraitor。Aave Labs 此前已提議將凍結資金解凍並轉入"DeFi United"基金,用於補償 rsETH 持有者,但該律所的法律行動或將令受害者等待週期大幅延長。 Arbitrum DAO 社區成員對此提出批評,認爲此舉將朝鮮債務的代價轉嫁至另一批受害者,進一步加重了原有損害。Gerstein Harrow 此前亦曾就 2023 年 Heco Bridge 黑客事件中 Teth
MegaETH 主管 PaperImperium 在 X 平臺披露紐約南區聯邦法院文件顯示,美國法院已向 Arbitrum DAO 發佈禁制令,要求其不得轉移此前在 KelpDAO 黑客事件中被凍結的約 7100 萬美元 ETH 資產。對此,“鏈上偵探”ZachXBT 在 X 平臺發文表示,某些美國律所利用其調查工作和鏈上取證成果幫助某些黑客事件受害者提出法律索賠,但這種做法反而會影響減緩受害者拿到補償/恢復資金。ZachXBT 補充稱,在此前多起涉及 Lazarus Group 的黑客事件中,此類律所通常會在其鏈上資金追蹤或凍結完成後才介入,並提出與加密事件本身關聯較弱的後續法律行動,也曾在 Harmony、Bybit 等事件中採取類似策略進行“搭便車式索賠”,他呼籲加密社區應該成立 DAO 來抵制此類行爲。
MegaETH 主管 PaperImperium 在 X 平臺披露紐約南區聯邦法院文件顯示,美國法院已向 Arbitrum DAO 發佈禁制令,要求其不得轉移此前在 KelpDAO 黑客事件中被凍結的約 7100 萬美元 ETH 資產。原告方試圖將該筆資金用於執行鍼對朝鮮多年來涉及恐怖主義、綁架等案件的未償判決賠償,並已申請以替代送達方式向 Arbitrum DAO 發出法律通知,將其視爲可被追責的“合夥組織”。法院文件還指出,Arbitrum DAO 設有由 ARB 持有人治理的 Security Council,具備在緊急情況下采取行動的能力,因此相關成員若拒絕配合,可能面臨藐視法庭等法律責任。市場認爲,此案或成爲美國司法體系直接約束 DAO 治理結構的重要案例,並進一步凸顯 DeFi 協議在現實法律框架下的合規壓力。
據 Cointelegraph 報道,Arbitrum 委員會投票決定解凍價值 7100 萬美元的以太坊,以遏制 Kelp DAO 漏洞造成的 2.9 億美元損失。
Arbitrum DAO 已啓動治理投票,擬釋放此前凍結的 30,766 枚 ETH,用於支持 Kelp DAO 攻擊後的善後計劃 DeFi United。該部分資產由 Arbitrum 安全委員會在 4 月 20 日凍結,價值約 7110 萬美元,原爲攻擊者轉入 Arbitrum 網絡的資金。若提案通過,這將成爲 DeFi United 計劃中最大一筆資金支持。投票初期,已有 1690 萬枚 ARB 支持該提案,目前暫無反對票,投票將持續至 5 月 7 日。