Prawnicy ofiar północnokoreańskich hakerów zmienili swoje argumenty prawne w sporze o 30 766 ETH, które zespół Arbitrum zamroził po włamaniu do systemu Kelp.
Prawnicy nalegają na zmianę kwalifikacji incydentu: według ich wersji atakujący nie tylko ukradł aktywa, ale także pożyczył ETH na Aave w ramach niezabezpieczonego rsETH i nie zwrócił ich.
„W rzeczywistości Korea Północna pożyczyła aktywa od użytkowników Aave i ich nie zwróciła. Kiedy Aave próbowała upłynnić zabezpieczenie, okazało się, że jest ono bezwartościowe” – czytamy w nowym dokumencie.
Powodowie powoływali się na przepis prawa amerykańskiego: nawet majątek uzyskany w wyniku oszustwa tymczasowo przechodzi na własność oszusta do czasu jego zakwestionowania. Dodatkowym uzasadnieniem była ustawa o ubezpieczeniu od ryzyka terrorystycznego, uchwalona po 11 września: zezwala ona ofiarom ataków terrorystycznych na pobieranie pieniędzy z majątku państw sponsorujących.
Prawnicy uważają, że jeśli środki skradzione podczas ataku na Kelp należały, nawet tymczasowo, do Koreańskiej Republiki Ludowo-Demokratycznej, mogłyby zostać zajęte w ramach wykonywania orzeczeń sądowych w sprawach o terroryzm.
Argumenty przeciwko Aave
Na początku maja sąd w Nowym Jorku zakazał Arbitrum odmrożenia skradzionych ETH. Organizacja L2 Network DAO planowała przelać je do funduszu DeFi United, utworzonego w celu przywrócenia ekosystemu.
W ciągu kilku dni zespół Aave złożył wniosek o uchylenie zajęcia mienia. Przedstawiciele projektu uznali logikę sądu za prawnie nie do utrzymania.
„Złodziej nie jest właścicielem tego, co ukradł. Te środki należą do użytkowników, którym je ukradziono, i do nikogo innego” – powiedział założyciel protokołu, Stani Kulechov.
Prawnicy powoda zakwestionowali prawo Aave do zakwestionowania zamrożenia, powołując się na warunki korzystania z platformy, które stanowią, że „posiada, przechowuje i kontroluje” aktywa klientów. To, jak argumentują prawnicy, czyni projekt odpowiedzialnym za zaistniałą sytuację i może osłabić jego pozycję w sądzie.
Prawnicy zauważyli również, że ofiary najprawdopodobniej nie potrzebują pilnie tych 30 766 ETH: DeFi United zebrało już 327,95 mln USD, co stanowi czterokrotność kwoty, o której mowa.
Rozprawa w tej sprawie jest zaplanowana na 6 maja i odbędzie się w federalnym sądzie na Manhattanie.
Konflikt Kelp i LayerZero
Deweloperzy z Kelp poinformowali, że kwietniowe naruszenie bezpieczeństwa było spowodowane luką w infrastrukturze LayerZero. Projekt planuje ponowne uruchomienie systemu międzyłańcuchowego opartego na Chainlink.
Po niedawnym ataku na LayerZero podejmujemy kroki mające na celu zapewnienie pełnego bezpieczeństwa rsETH, dlatego też migrujemy do @chainlink CCIP.
Z incydentu z 18 kwietnia jasno wynika, że wykorzystano infrastrukturę firmy LayerZero, co spowodowało straty w wysokości 300 mln USD w obszarze DeFi… https://t.co/beIrfZZLlh
— Kelp (@KelpDAO) 5 maja 2026
Sednem sporu jest konfiguracja DVN 1-z-1, w której komunikat międzyłańcuchowy jest potwierdzany przez jednego weryfikatora. Kelp twierdzi, że LayerZero zatwierdziło tę konfigurację i nie ostrzegło o ryzyku, a następnie zrzuciło winę na innych po ataku hakerskim.
Firma LayerZero twierdzi, że problem dotyczył jedynie rsETH i był spowodowany niebezpieczną konfiguracją Kelp. Zespół projektowy, którego dotyczył problem, zaprzecza temu: konfiguracja 1 z 1 była szeroko stosowana w ekosystemie protokołów omnichain, a decyzja o porzuceniu tej konfiguracji potwierdza systemowy charakter luki.
Przypominamy, że pod koniec kwietnia firma LayerZero dołączyła do inicjatywy DeFi United i przekazała 10 000 ETH (~23 mln USD).