Rechtliche Einschränkungen für Arbitrum DAO
Ein US-Gerichtsbeschluss hat die geplante Verwendung der eingefrorenen Hackerfonds von Arbitrum DAO rechtlich eingeschränkt. Laut Unterlagen, die vom US-Bezirksgericht für den südlichen Bezirk von New York genehmigt wurden, haben die Kläger am 1. Mai über das Governance-Forum von Arbitrum eine einstweilige Verfügung beantragt, die jede Bewegung von 30.766 ETH blockiert, die nach dem Kelp DAO-Exploits vom Arbitrum Security Council eingefroren wurden und einen Wert von fast 71,1 Millionen Dollar haben.
Hintergrund der Klage
Die Anwälte, die die Kläger vertreten, die als Opfer unbeglichener Urteile im Zusammenhang mit Terrorismus gegen Nordkorea identifiziert wurden, argumentieren, dass das beschlagnahmte Ether Eigentum darstellt, an dem die Demokratische Volksrepublik Korea (DVRK) ein Interesse hat. Ihre Forderung basiert auf den Vorwürfen, dass die Gelder von der Lazarus Group im Auftrag von Pjöngjang gestohlen wurden, eine Verbindung, die zuvor von LayerZero in seiner Untersuchung des Vorfalls festgestellt wurde.
„Die Intervention von Arbitrum geht auf den 20. April zurück, als der Security Council die Vermögenswerte in eine kontrollierte Wallet verschob, nachdem er Adressen identifiziert hatte, die mit dem Angreifer in Verbindung standen.“
In einem Update vom 21. April erklärte das Netzwerk, dass die Einfrierung auf Informationen von Strafverfolgungsbehörden über die Identität des Ausbeuters folgte und fügte hinzu, dass die Maßnahme die Benutzeraktivität oder Anwendungen nicht störte.
Details zur Klage
Gerstein Harrow LLP reichte die Klage im Namen von Han Kim und Yong Seok Kim ein, deren Fall aus der Ermordung von Reverend Kim Dong-shik durch nordkoreanische Agenten resultiert. Ein US-Gericht sprach in diesem Fall etwa 330 Millionen Dollar Schadensersatz zu, und die neueste Klage kombiniert dieses Urteil mit zwei weiteren, Kaplan v. DVRK und Calderon-Cardona v. DVRK, wodurch die Gesamtforderungen auf über 877 Millionen Dollar vor Zinsen steigen.
Die rechtlichen Argumente der Kläger stützen sich auf das Foreign Sovereign Immunities Act und das Terrorism Risk Insurance Act, die Gläubigern erlauben, Vermögenswerte zu beschlagnahmen, die mit staatlichen Sponsoren von Terrorismus verbunden sind. In der Klage werden sowohl die Lazarus Group als auch APT-38 als Instrumente der DVRK genannt.
Abstimmung und Wiederherstellungsinitiative
Arbitrum DAO hatte am 30. April eine Snapshot-Abstimmung eröffnet, um zu entscheiden, ob die eingefrorenen ETH in eine Wiederherstellungsinitiative übertragen werden sollten, die nach dem Exploit gegründet wurde. Der Vorschlag, der von Aave Labs mit Beiträgen von Kelp DAO, LayerZero, EtherFi und Compound verfasst wurde, zielt darauf ab, die Gelder in eine Multi-Signatur-Wallet zu leiten, die von Teilnehmern des Ökosystems und der Sicherheitsfirma Certora verwaltet wird.
Abstimmungsdaten zeigen, dass zum Zeitpunkt der Veröffentlichung mehr als 99 % Unterstützung für den Plan besteht, wobei der 7. Mai als Frist für die Abstimmung festgelegt wurde. Das Design beschränkt die Funktion der Wallet darauf, wiederhergestellte Vermögenswerte zu empfangen und diese zu verwenden, um die Deckung für rsETH wiederherzustellen.
Aave Labs hat in den Vorschlag eine Entschädigungsklausel aufgenommen, die anbietet, die Arbitrum Foundation, Offchain Labs und Mitglieder des Security Council gegen Ansprüche im Zusammenhang mit der Einfrierung oder Freigabe von Geldern abzusichern. Inwieweit solche Schutzmaßnahmen unter einer aktiven gerichtlichen Anordnung gelten würden, bleibt ungeklärt.
Hintergrund des Exploits
Der Streit entfaltet sich vor dem Hintergrund eines Exploits in Höhe von 292 Millionen Dollar, der am 18. April 116.500 rsETH aus der LayerZero-basierten Brücke von Kelp DAO abgezogen hat. Die Analyse von LayerZero wies auf einen Kompromiss von RPC-Knoten und ein 1-von-1-Überprüfungssetup hin, das es ermöglichte, eine gefälschte Cross-Chain-Nachricht zu validieren, während Kelp DAO behauptet hat, dass die Konfiguration den Standardbereitstellungsparametern folgte.
On-Chain-Tracking, das in nachfolgenden Berichten zitiert wurde, zeigte, dass der Angreifer Gelder durch Arbitrum bewegte und Vermögenswerte in Tron-basiertes USDT umwandelte, ein Muster, das Analysten als darauf ausgelegt beschrieben haben, die Transaktionsspur zu fragmentieren.
Schätzungen, die von Yahoo Finance zitiert wurden, platzierten die mit Nordkorea verbundenen Krypto-Diebstähle im ersten Quartal bei fast 600 Millionen Dollar, wobei der Vorfall von Kelp DAO einen erheblichen Anteil ausmachte. Das Einfrieren von Arbitrum wurde zunächst als Schritt zur Wiederherstellung dargestellt, aber die gerichtlich unterstützte Forderung hat nun konkurrierende Ansprüche über denselben Pool von Vermögenswerten eingeführt, was den nächsten Schritt der DAO rechtlichen Beschränkungen unterwirft.
