4 月 18 日 Kelp DAO 跨链桥遭朝鲜 Lazarus Group 攻击,损失约 2.92 亿美元,Arbitrum 安全委员会冻结了攻击者的 30766 枚 ETH(约 7100 万美元)。围绕这笔冻结资金的归属,纽约联邦法院正在审理一场 DeFi 历史上前所未有的法律争端。
5 月 14 日,纽约南区联邦法院法官 Margaret Garnett 将原定的紧急听证推迟至 6 月 5 日,要求 Aave 与对方律所 Gerstein Harrow 在 5 月 22 日前补充简报,正面回应六个法律问题:
· 黑客交易是否适用纽约州的 shelter doctrine(庇护原则)
· 欺诈与盗窃在法律上的区分,以及黑客对赃物是否存在任何法律意义上的权益
· 哪一国法律决定被冻结资产的债权人优先权
· 建设性信托是否构成适当的司法救济
· Aave 或 Arbitrum 能否识别个体受害者并按比例返还资金
· Aave 用户的复合损失如何在冻结持续的情况下实际发生
第六点尤其关键。Aave 在此前的紧急动议中主张,资金被持续冻结将引发用户清算、DeFi 借贷市场失稳等连锁损失,Garnett 认为 Aave 没有把这一损失链条讲清楚,要求补充论证。
这是 Garnett 法官的第二次出手,5 月 9 日,她已发出第一项命令,修改限制令范围,允许 Arbitrum DAO 通过链上治理投票将冻结 ETH 转入 Aave 控制的钱包,投票参与者不构成违反冻结令。换言之,资金能动的程序问题在 5 月 9 日已经解决,谁有权动的实质问题留到了 6 月 5 日。
Gerstein Harrow 是谁
5 月 1 日,美国律所 Gerstein Harrow LLP 向纽约南区法院递交一份限制令通知,要求 Arbitrum 不得释放这笔 ETH。
这家律所的客户与加密世界毫无关系。Gerstein Harrow 代表三组持有对朝鲜未执行反恐判决的家庭,三起判决合计约 8.77 亿美元:
· 金东植牧师案(Kim v. DPRK,约 3.3 亿美元):韩裔牧师金东植 2000 年在中朝边境被朝鲜特工绑架后失踪并遇害,家属在美国法院获得针对朝鲜的判决。
· 真主党火箭弹袭击案(Kaplan v. DPRK,约 1.69 亿美元):原告主张朝鲜为真主党提供武器支援,依据美国《反恐法》申请赔偿。
· 1972 年罗德机场大屠杀案(Calderon-Cardona v. DPRK,3.78 亿美元):当年在以色列特拉维夫罗德机场发生的恐怖袭击,由日本赤军受巴解极端派系指使实施,造成 26 人死亡;原告在美国法院将朝鲜列为相关恐怖支持方。
Gerstein Harrow 的法律理论是,链上分析既然把这笔 ETH 归属于 Lazarus,而 Lazarus 是朝鲜国家行为者,那么这笔资产就属于朝鲜国家财产,应当优先用于赔偿持有未执行判决的反恐受害人。
链上调查员 ZachXBT 公开批评这是趁火打劫,他指出 Gerstein Harrow 此前在 Harmony、Bybit 等朝鲜关联黑客案件中都试图进行同样的操作,称这家律所的全部工作就是「在我完成了收集证据的困难部分之后读我的帖子」。安全研究员 Taylor Monahan 更直接地称其「比救护车追逐者还恶劣」。
ZachXBT 认为,Aave 用户才是攻击者借贷行为的实际受害人,反恐遗属的判决与 DeFi 用户的损失之间没有直接因果关系,Gerstein Harrow 的介入实际上在拖慢受害者的资金回收进程。
Aave 发起链上投票,rsETH 五链恢复提现
法律程序推进的同时,协议层修复以更快节奏并行。
Aave 于 5 月 12 日在 Arbitrum 上发起具有约束力的链上投票(AIP),提案将 30765 枚 ETH 从安全委员会钱包转入 Aave LLC 控制的 Aave Recovery Guardian 多签。
投票于 5 月 15 日开放,预计需要约八天完成,之后 ETH 还需经过标准的 L2 到 L1 提款延迟才能到达以太坊主网。
同日,Kelp DAO 宣布 rsETH 提现、跨链桥接及 EigenLayer 申领功能已全部恢复。技术修复方面,攻击者伪造的 rsETH 供应已于 5 月 7 日完成清算和销毁,首批 25000 枚 rsETH 已从 Aave Recovery Guardian 多签转入 LayerZero OFT 适配器,正式重启跨链桥接。
Aave 重组漏洞赏金体系,V3 核心关键漏洞最高 500 万美元
在处理 Kelp DAO 事件后续的同时,Aave Labs 向治理论坛提交了一份漏洞赏金计划重组提案(ARFC)。
提案将 Aave DAO 目前的单一赏金计划拆分为 7 个子系统专属项目,分别托管在三个平台上:Immunefi 负责 Core Aave V3、V2、GHO 和非流动性协议基础设施;Sherlock 负责 Aave V4 和 Aave App Stack;Cantina 负责 Aave V3 on Aptos。
赔付标准方面,变化最大的是 Core Aave V3,关键漏洞最高赏金从 100 万美元提升至 500 万美元,最低赔付从 5 万提至 10 万美元。Aave V4 关键漏洞上限从 50 万提至 250 万美元。
社区成员 robtg4 在治理论坛中估算,如果每个子系统年均触发一个关键漏洞,七个项目合计的关键赔付预算约 500 万至 600 万美元,加上高 / 中 / 低级别漏洞,全年总预算合理区间在 800 万至 1000 万美元。
提案同时建议维持多平台架构 6 至 12 个月,在收集足够运营数据后再决定是否整合。LlamaRisk 已发表支持意见,认为分拆结构能更好地匹配各子系统的实际风险面。
截至发稿,rsETH 提现和跨链功能已恢复运行,DeFi United 的资金注入正在分批推进,Arbitrum 治理投票进行中。7100 万美元冻结 ETH 的最终归属,要等 6 月 5 日纽约联邦法院的听证结果。
但对于 Aave 用户和 rsETH 持有者而言,技术层面的危机已经解除,法律层面的不确定性仍在持续。
