46 menit, dicuri $292 juta, DeFi menemukan kembali pembangunan

Penulis: ChainCatcher

 

Pada jam-jam awal tanggal 18 April, hanya dua minggu setelah pencurian Drift lebih dari $200 juta, Kelp DAO, di bawah bendera Kernel, lagi-lagi memperbarui catatan pencurian industri enkripsi tahun ini: 116.000 rsETHs dikalikan, bernilai sekitar $292 juta。

Hal ini diketahui bahwa Kelp DAO adalah tiga perjanjian janji berdasarkan Eigenlayer. rSETH adalah tanda janji cair (LRT) dikeluarkan oleh Kelp DAO dan dimaksudkan untuk menyediakan likuiditas untuk aset yang tidak cair disimpan pada platform yang berkomitmen ulang (misalnya Eigenlayer)。

Tim inti dari perjanjian adalah dari India. Pada bulan September 2024, kesepakatan itu dibiayai dengan $9 juta, dengan partisipasi dari sejumlah besar investor terkemuka, termasuk Laser Digital, Banks Ventures dan Hiperbola Ventures. Nilai total perjanjian saat ini lebih dari $1,5 miliar. Pada tahun yang sama, perusahaan induknya, Kernel, juga menerima investasi dari Yzi Labs, yang memiliki hubungan dekat dengan mata uang。

Namun, ini sekali bangga latar belakang dan prestasi Tiba-tiba hancur dalam kecelakaan tragis ini。

 

Pemalsuan rantai mematikan dan biaya "single"

Menurut pembukaan awal dari catatan rantai, serangan itu bukan serangan ulang tradisional atau pinjaman kilat, tapi serangan presisi berdasarkan pemalsuan informasi rantai。

Alasan utama dari hal ini adalah bahwa adaptor jembatan rSETH antara rantai gagal untuk melakukan "verifikasi sumber" yang ketat dari informasi dari protokol rantai bawah. Peretas memalsukan perintah pembebasan aset yang sah, menginduksi kontrak jembatan Kelp untuk salah menilai aset timbal balik yang terkunci dalam rantai asal, sehingga memperoleh dalam eksekusi perintah hacker, melepaskan $292 juta senilai rSETH dalam jaringan Etherman。

46 menit setelah penyerangan, tim Kelp DAO meluncurkan mekanisme suspensi darurat. Meskipun operasi tersebut berhasil mencegat dua upaya penarikan berikut dengan 40.000 rSETH (sekitar $100 juta), hampir 20 persen dari sirkulasi rSETH (116.000) telah jatuh ke dalam kantong hacker。

Selanjutnya, hacker disimpan ini rsETHs ke Aafve V3 sebagai jaminan untuk meminjam sejumlah besar sangat bergerak WeTHs. Rupanya, hacker tidak akan kembali aset, dan agunan, rSETH, tidak memiliki aset bawah nyata karena itu palsu build- up, meninggalkan Aaf dengan utang yang buruk sekitar $177 juta, yang mungkin akan ditanggung oleh semua depositor Aaave。

Dalam proses ini, masalah terbesar adalah dalam kontrak jembatan untuk Layerzerro. Kontrak rantai LayerZero yang dipakai oleh Kelp DAO adalah konfigurasi 1 / 1 DVD, yang disebut konfigurasi "single", yang dapat dikonfirmasi oleh sebuah sertifikat tunggal melalui pesan-pesan berantai, sedangkan dokumen resmi LayerZero digagalkan untuk merekomendasikan 2 / 2。

Setelah insiden, Token Layerzero ZRO pernah jatuh lebih dari 40 persen, Tanda AAVE memuncak 22 persen, dan Kelp DAO terkait partai Kernel token sekarang jatuh lebih dari 13 persen. Selain itu, beberapa proyek, seperti Solv, telah diumumkan untuk menghentikan jembatan Lapis Zero OFT。

 

Keruntuhan sistematis DeFi Struktur Lego

Sebelum insiden ini, Aafve tidak pernah mengalami insiden keamanan, yang, meskipun tidak karena kode kontraktual sendiri, masih terkait dengan perjanjian 's penilaian risiko dari seperti LRT token dan pengaturan karantina. Pada bulan Januari tahun ini, Spark Protocol telah jatuh dari aset rendah-hidup seperti rSETH dan terus memperketat agunan dan fungsionalitas, meninggalkan kesepakatan tidak terpengaruh oleh gelombang saat ini。

Saat ini, nilai total rantai Aave telah jatuh dari $26.390 juta kemarin menjadi $21.766 juta, dengan satu penarikan $4,6 miliar. Pada saat yang sama, sejumlah besar pengguna pinjaman beralih ke perjanjian pinjaman lain, ETH meminjamkan permintaan di pasar meningkat, dan Spark ETH 's deposit kolam renang meningkat cepat dari 1.7 persen menjadi 5 persen。

Dalam menanggapi insiden tersebut, pendiri Curve, Michael Egorov, menulis bahwa insiden itu adalah risiko yang ditimbulkan oleh model "meminjam tidak dipisahkan" yang sekarang banyak digunakan. Model ini memiliki lingkup luas yang baik, namun resiko yang lebih tinggi dan manajemen risiko sangat kritis. Salah satu pendekatan adalah model pemisahan lengkap, seperti yang terjadi di Curve Finance, dan yang lainnya model hibrida (kompleks tapi layak). Saat ini, pasar tidak sepenuhnya memahami keuntungan dari program ini. The Hub dan Spoke (pusat radiasi) model Aafve v4 mungkin merupakan langkah menuju semi-pemisahan dan lebih aman。

Saat ini, sebagian besar perusahaan pinjaman utama mengadopsi model kolam renang likuiditas bersama dan hampir semua aset pinjaman berbagi likuiditas dan risiko, seperti Aafve, Komputer, Spark, dll. Hanya beberapa perjanjian pinjaman, seperti Morpho, Kamino, dan Euler, telah mengadopsi model kolam isolasi. Ini pada dasarnya adalah pertukaran antara efisiensi dan keamanan dalam penggunaan dana。

Dan di versi V4 dari Aafe, yang datang online pada akhir Maret tahun ini, konsep Hub dan Spoke diperkenalkan, secara terhormat, dan Hub (Pusat / Kejernihan Hub) adalah pusat likuiditas pusat yang berisi semua aset dan akuntansi global. Spoke (radiasi) adalah portal modular interaktif langsung yang bertanggung jawab untuk aturan pinjaman tertentu dan pengendalian risiko。

Setiap Spoke menyediakan fungsi pinjaman khusus (pasokan, pinjaman, pembayaran, penarikan) dan telah memisahkan parameter risiko: berbagai jenis agunan, likuidasi aturan, suku bunga model, E-Mode, Mode Asosiasi, dukungan RWA, dll。

Ini berarti bahwa Aave akan mampu mengontrol keseluruhan risiko yang ditimbulkan oleh satu aset dengan memutuskan, pada kasus-oleh-kasus, apakah untuk membangun kolam sepenuhnya memisahkan aset pinjaman untuk berbagai jenis risiko dan alam。

Sebagai tambahan, seorang pemain DeFi yang terkenal baik, Benmo, mengangkat lima poin dalam menanggapi insiden:

PERTAMA, KEAMANAN ASET KEMASAN, SEPERTI LRT, TIDAK DAPAT DIBANDINGKAN DENGAN ASET ASLI, DAN PLATFORM PINJAMAN TIDAK MELIBATKAN KEDUANYA SAMA SEBAGAI JAMINAN

Kedua, L0 kehilangan bagian dari pasar rantai di belakang, dan beberapa aset, seperti usde, usd0, telah menghentikan rantai L0, dan bahkan mungkin pemulihan bisnis akan membuat sulit mengembalikan kredibilitas。

Ketiga, runtuhnya emas AAVE dan masuknya kembali keamanan pasar pinjaman besar ke dalam fase pemeriksaan ikan paus, dengan setiap tambahan aset hipotek meningkat sama risiko dari aset hipotek asli, ketidakadilan alami terhadap aset asli, dan kecenderungan terhadap V4 dan modulisasi produk pinjaman, yang mungkin mempercepat. Operasi peminjam dipilih bukannya meminjamkan platform atau kurator, tapi biaya operasi tersebut meningkat。

Keempat, biaya akuisisi tvl L2 akan meningkat lebih lanjut, dan sekarang tingkat tvl akan lebih lanjut mengalir kembali ke L1.

Lima puluh, Defi berhenti memperluas rute dan kembali ke model keamanan konservatif, lebih lanjut mencegah pemindaian Anthropic Mythos。

Dari Drift ke Kelp DAO, dua insiden keamanan utama dalam jangka waktu singkat telah menunjukkan bahwa struktur keuangan DeFi 's "tied- up", menyebabkan kegagalan sistemik pada satu titik, tiba-tiba akan berkembang menjadi instry- cairan lebar meremas. Di masa lalu, pandangan ini terutama ada dalam teori, dan sebagian besar dampak insiden keamanan tetap pada perjanjian individu, yang terjadi dengan cara yang tragis。

Ini bukan hanya sidang perjanjian-rantai lintas dan pinjaman perjanjian, tetapi juga pukulan besar untuk kepercayaan diri pengguna。

"Tidak ada lagi Defi, hanya ETH asli, tidak ada janji atau deposit, tidak ada bunga." Rayakan kata KOL laolu。

"Keluar dari Defi pertama. Ini terlalu berbahaya. Kali ini, tulang retak lebih besar dari Drift / Cowswap 's... dan investor terkenal DeFi Dovey Wang berbagi pandangan yang sama。