Frစm The Earth Tစ The Mစစn 🦣

🇫🇷 Une famille menacé avec une arme à feu et séquestrée pendant plus de 3 heures à leur domicile pour de la cryptomonnaie. Lundi matin, vers 9 h, deux hommes cagoulés et armés ont fait irruption dans une maison de Ploudalmézeau, une commune de 6 500 habitants au nord de Brest. Celle-ci était alors occupée par une mère de famille, ses deux enfants en bas âge, et deux grands-parents. Menacé à l'aide d'une arme de poing et ligoté pendant plus de trois heures, les criminels ne sont finalement partis qu'après avoir reçu un transfert en crypto.

The Arbitrum Security Council has taken emergency action to freeze the 30,766 ETH being held in the address on Arbitrum One that is connected to the KelpDAO exploit. The Security Council acted with input from law enforcement as to the exploiter’s identity, and, at all times, weighed its commitment to the security and integrity of the Arbitrum community without impacting any Arbitrum users or applications. After significant technical diligence and deliberation, the Security Council identified and executed a technical approach to move funds to safety without affecting any other chain state or Arbitrum users. As of April 20 11:26pm ET the funds have been successfully transferred to an intermediary frozen wallet. They are no longer accessible to the address that originally held the funds, and can only be moved by further action by Arbitrum governance, which will be coordinated with relevant parties.

Pour ceux qui veulent comprendre ce qu'il se passe avec Kelp : KelpDAO émet des rsETH, un token de liquid restaking d’éther. En gros tu déposes de l'ETH ou du stETH et tu reçois du rsETH qui continue de rapporter des rendements. L'attaquant a trouvé une faille dans le mécanisme de mint : il a créé de grandes quantités d’rsETH sans fournir de vrai éther en staking (collatéral). De l'argent sorti du néant quoi. Il a ensuite déposé ce rsETH artificiel sur Aave V3 comme collatéral et emprunté contre ce dépôt de vrais $ETH et de vrais stablecoins. Aave l'a accepté sans problème car c'est un token listé, rien d'anormal « en apparence ». Quand Aave a voulu liquider les positions, le collatéral ne valait rien. Résultat : Aave se retrouve avec des emprunts non couverts ce qu'on appelle de la « bad debt ». Et c'est là que ça devient le problème des prêteurs ETH : sur Aave, les pertes non couvertes sont mutualisées entre tous les fournisseurs de liquidité via le Safety Module. Si les pertes dépassent ce buffer (tampon de liquidité), les prêteurs absorbent la différence via une dilution de leurs jetons prêtés. C'est pour ça que le conseil c'est de retirer maintenant. Premier sorti, premier servi. Les chiffres : entre 100 M$ et ~293 M$ selon les estimations, soit environ 116 500 ETH. ZachXBT a identifié 6 wallets attaquants (wallets pré-financés via Tornado Cash et une opération qui semble planifiée). AAVE token accuse le coup: -10 à -13% dans les heures qui ont suivi. Ce hack illustre quelque chose d'important sur la DeFi composability : rsETH est accepté comme collatéral sur Aave, Compound et d'autres simultanément. Une faille dans un protocole se propage instantanément à tous les autres. Ce ne sera pas le dernier hack de ce type et bien que le mécanisme soit différent, ils ont utilisé le même levier que dans le hack de drift il y a peu de temps.