Dari peristiwa Kelp DAO hingga UI yang dapat diverifikasi: Mengapa antarmuka "dapat diverifikasi" sebuah lantai keselamatan baru yang didesentralisasi

Dalam rantai, dunia DeFi, ada dua kali lipat melintasi keamanan kecelakaan miliaran dolar。

Pada tanggal 18 April, menggunakan 1 / 1 DVD Kelp DAO 's Layer Zero rute, dan tanpa konfigurasi alternatif verifikasi, penyerang salah merilis 116,500 rsETHs kontrak, meninggalkan Aafve menghadapi berpotensi utang buruk antara $12.7 juta dan $230.1 juta dalam skenario berbagi-kerugian yang berbeda。

Secara objektif, ini bukan hanya insiden keamanan DeFi terbesar sejak 2026, tapi yang lebih penting adalah menembus asumsi struktural bahwa seluruh industri telah menerima sebelumnya:Dalam kepentingan efisiensi, likuiditas dan profitabilitas, meningkatkan keamanan diam-diam sedang diinvestasikan dalam beberapa mediasi kredibel baku。

Pertama, kegagalan mekanisme desentralisasi di belakang Kelp DAO

Jika peristiwa Kelp DAO dipahami sebagai gelombang keamanan rantai biasa, mudah untuk meremehkan implikasinya untuk seluruh risiko struktur DeFi。

Kelp DAO, sebagai protokol Rebanking Liquid (mobile re-commitment) dalam ekologi Pacifican, pengguna teoritis dapat memperoleh rSETH sebagai sertifikat, tidak hanya di web utama, tetapi juga dalam standar amplop OFT dari LayerZero, yang dikerahkan pada 20 rantai seperti Base, Arbitrum, Linea, Ledakan, Mantle, Scroll, dll。

Dengan kata lainKontrak rantai inter- di sisi lain dari ETPC menyimpan semua cadangan ETH, sedangkan sisanya pada dasarnya adalah "tagihan lading untuk cadangan jaringan utama"INI JUGA BERARTI BAHWA SISTEM DIDASARKAN PADA PREMIS BAHWA JANGKAR "JUMLAH JANGKAR DALAM JARINGAN UTAMA SELALU LEBIH BESAR ATAU SAMA DENGAN JUMLAH YANG DITEMUKAN PADA RANTAI L2" TIDAK DAPAT DIHANCURKAN。

Dan apa yang penyerang lakukan adalah bagian bawah dari apa yang tampak menjadi sederhana tapi penting kendala. Dia hanya ditempa "legal" "hukum" "LayerZero" link-link, meyakinkan kontrak jembatan utama bahwa itu adalah perintah pembayaran dari rantai kepatuhan lain dan merilis 116,500 rsEKS。

Kunci untuk masalah tersebut tersembunyi dalam konfigurasi otentikasi LayerZeroKelp DAO menggunakan konfigurasi DVD 1 / 1, memungkinkan sebuah titik otentikasi untuk menandatangani cukup untuk merilis pesan cross- linkDan Petugas LayerZero sebenarnya merekomendasikan 2 / 2 dan bahkan multiple redundansi sertifikat, dan resiko 1 / 1 ini telah diperingatkan secara publik oleh peneliti keamanan seawal Januari 2025, tetapi belum diubah dalam 15 bulan

Inilah sebabnya mengapa sulit untuk mengklasifikasikan insiden sebagai "jembatan telah digelapkan" atau "perjanjian tertentu belum cukup dikendalikan", yang mengekspos dua-berlapis, tunggal-titik risiko:

• Tingkat pertama adalah sertifikasi satu poin: DVN secara teoritis dirancang sebagai kombinasi dari X-of -Y-N model keamanan yang mendukung beberapa validasi independen untuk memenuhi kebutuhan keamanan yang berbeda, tetapi legitimasi seluruh pesan di KelpDAO dikurangi menjadi "tidak ada masalah dengan asumsi validasi"
• Tingkat kedua adalah satu titik cadangan: begitu kolam cadangan jaringan utama tertusuk, rSETH pada rantai lain segera berhenti menjadi aset rantai silang dan mengekspos esensi dari IOU, yang dibangun di atas jangkar jaringan utama tunggal

KapanJika satu titik otentikasi dan satu titik saham ditumpuk bersama-sama, Risiko tidak akan lagi tetap dalam satu kesepakatan tunggal, tetapi akan tumpah sepanjang DeFi 's portofolio。

Inilah mengapa Aave segera membekukan pasar RSETH / WWSETH setelah kecelakaan itu, menyesuaikan model suku bunga WETH, dan membekukan beberapa pasar WETH untuk mencegah tekanan penyebaran ke aset lainnya. Meskipun Aafe sendiri tidak diretas, jaminan itu dikompromikan, likuidasi diblokir, kesehatan peminjam 's menempatkan dia pada risiko utang materi yang buruk。

Dan jika perspektif terangkat, logika "outsourcing keselamatan untuk satu titik" tidak hanya hadir di jembatan dan di sertifikat, tetapi juga pada titik di mana pengguna menghadapi setiap hari, tetapi jarang positif dibahas - antarmuka。

Ini

Komunitas Web3 mengatakan, "Jangan percaya, Verify。

The ETA pejabat interpretasi kalimat dalam memperkenalkan titik cukup sederhana: menjalankan node Anda sendiri berarti Anda tidak perlu percaya apa yang seseorang memberitahu Anda, karena Anda dapat memvalidasi data sendiri, tidak outsource ke penyedia data pusat。

Prinsip ini dimasukkan ke dalam dompet dan antarmuka DeFi, yang sama-sama valid。

Dompet tanpa host seperti imToken, yang pada dasarnya adalah akses ke akun pengguna, adalah "melihat aset, mengirim transaksi, aplikasi login" jendela. Dompet itu sendiri tidak mempercayai uang Anda, juga tidak kunci pribadi memegang pada platform. Selama beberapa tahun terakhir, industri juga menerima pentingnya "aset kepercayaan" isu, dan semakin banyak orang mulai memahami decentrisasi nyata, bukan hanya dengan menempatkan mata uang dalam rantai, tetapi dengan menyerahkan kendali aset kepada pengguna sendiri。

Tapi masalahnya adalah, sementara kita menempatkan peningkatan penekanan pada "diri-tahanan" pada tingkat aset, masih ada kesepakatan besar akselerasi di tingkat pemotongan untuk outsourcing lebih halus, yaitu, memahami makna transaksi, menilai hasil panggilan, dan memberikan kepercayaan dalam keaslian antarmuka ke depan-akhir saat ini。

Ini adalah salah satu yang paling rentan risiko DeFi hari ini:Apakah pengguna menandatangani kesepakatan dia pikir dia menandatangani

Hal ini dapat dikatakan bahwa di hari-hari rantai interaksi, pengguna dihadapkan dengan hampir tidak ada rantai per se, tetapi dengan lapisan paket antarmuka, seperti DApp halaman depan web, jendela dompet, pernyataan routing yang diberikan oleh polimer, dan bahwa masa depan juga akan mencakup panggilan otomatis dan konfirmasi dari hasil Agen, yang akan memberitahu Anda bahwa "Anda menyimpan 100 ETH ke strategi", "Anda akan mendapatkan beberapa tahunan Anda mendapatkan mandat"。

tapi apakah data panggilan yang sebenarnya ditandatangani, disiarkan dan dirantai, dan apakah deskripsi depan secara ketat sesuai dengan eksekusi tingkat bawah, dan kebanyakan pengguna tidak memiliki kapasitas untuk memeriksanya secara independen。

Dan itulah mengapa, secara historis, ada yang berulang-ulang depan pembajakan, substitusi alamat, otorisasi berbahaya penyamaran yang tampaknya berbagai jenis insiden keamananIntinya sebenarnya menunjuk ke masalah yang sama, yaitu, transaksi yang ditandatangani oleh pengguna, tidak selalu salah satu dia pikir dia menandatangani。

Dari sudut pandang ini, Kelp DAO acara tidak hanya mengekspos tunggal titik validasi isu di jalur jembatan, tapi itu adalah pengingat logis lain lama-terlambat meremehkan industri secara keseluruhan, yaitu, dalam banyak hubungan rantai, antarmuka itu sendiri adalah titik baku tunggal yang dipercaya tapi jarang validasiSaat Anda mengklik "Ackonyledge", Anda benar-benar menempatkan panggilan yang tepat dan bertaruh pada "antarmuka tidak berbohong"。

Ini juga memperkenalkan konsep "UI Diverifikasi"。

"UI terverifikasi" adalah "antarmuka yang dapat diverifikasi". Ini bukan tentang membuat halaman depan lebih baik, ini bukan tentang menulis jendela tanda tangan lebih populer, ini tentang mencobaIsi yang diberikan dalam antarmuka terhubung dengan panggilan yang dapat diverifikasi oleh pengguna, disahkan oleh dompet, atau dilacak setelahnya。

Dengan kata lain, apa yang ingin dilakukan bukan "apakah informasi menunjukkan atau tidak" tapi "apakah itu benar-benar sesuai dengan apa yang terjadi dalam rantai", yang berarti:

• dompet, sebelum penandatanganan, seharusnya tidak hanya ditampilkan kepada pengguna sebuah urutan data heksadesimal, juga tidak perlu hanya mereproduksi satu narasi sisi dibuat oleh ujung depan, tetapi harus, sejauh mungkin, kembali namedata ke manusia dapat dibaca dan semantik niat operasional
• Setiap langkah yang dijelaskan oleh antarmuka juga harus mampu memetakan bukti yang dapat diverifikasi pada rantai, daripada beristirahat pada seperangkat logika interpretatif yang diyakini pengguna valid
• Hanya kemudian akan kesenjangan antara apa yang Anda pikir Anda lakukan dan apa yang benar-benar terjadi di rantai berhenti menjadi hard-to-mencapai membagi kognitif

Ketika ini didirikan, antarmuka tidak lagi jendela kaca yang memungkinkan pengguna untuk percaya tetapi tidak dapat secara independen memverifikasi itu, lebih seperti instruksi implementasi bahwa pengguna secara pribadi dapat mengkonfirmasi dan dapat kembali。

Jika hanya untuk melihat DeFi hari ini, validasi antarmuka tetap menjadi subjek meremehkan serius, tetapi jika timescale sedikit lebih lama, itu akan segera bergerak dari "optimasi keamanan layak diskusi" untuk "kemampuan dasar yang tidak dapat ditunda lebih lanjut." Karena jalan interaktif, ada tenang tapi jauh mencapai migrasi。

Tiga, UI terverifikasi

Jika peristiwa Kelp DAO terkena masalah kepercayaan diri tunggal yang telah ada selama bertahun-tahun dalam arsitektur DeFi tua, maka "Diverifikasi UI" adalah fase baru yang telah dimulai。

ETHUX, sebuah grafik ETA UX, jelas telah menyisir inti dari interaksi hari ini pada rantai: Transation Clarity, Cross- rantai Flow, Keselamatan & amp; Keamanan selalu menjadi kategori utama dari titik nyeri, penandatanganan buta, menandatangani kelelahan, mengurangi rasa sakit, pembentukan aset, dan hampir semua pengguna tua akrab dengan masalah ini。

APA YANG ADA DI BALIK INI BUKANLAH "PENDIDIKAN PENGGUNA TIDAK CUKUP", TAPI ITU FAKTA YANG LEBIH MENDASAR. UX DAN KEAMANAN TIDAK PERNAH SAMA DI DUNIA RANTAI。

Dengan kata lain, dalam banyak kasus, itu adalah risiko keamanan terbesar dalam dirinya sendiri。

Dan saat paradigma interaktif berpindah dari "user clicks one step at the front end of the DApp" to "user expression of intent, system automatically completes implementasi", masalahnya hanya akan diperbesar dan tidak akan melemah。

Setelah semua, di masa depan tradisional-akhir dari DApp, pengguna setidaknya dapat melihat tombol, halaman, jendela yang berwenang, bahkan jika mereka tidak sepenuhnya dipahami, dan setidaknya dapat mengaburkan persepsi dari "Aku melakukan beberapa langkah", "ini adalah otorisasi atau transfer", "Aku menyeberangi rantai atau deposit"。

Tapi begitu kita memasuki Umur Umur, ini proses yang terlihat rasa akan secara signifikan berkurang. Pengguna tidak lagi membuka titik-titik pada titik, Router, Bridge, Vault, Pinjaman Pasar untuk mengkonfirmasi setiap panggilan, tetapi lebih mungkin untuk mengatakan kepada AI 's dompet: "Turn my ETH menjadi strategi pendapatan yang lebih stabil", "Base to Base, kontrol titik slide maksimum" dan "hanya memungkinkan Agen untuk menghabiskan 100 USDT dalam 24 jam" dan menunggu hasil "selesai"。

Ini, tentu saja, berarti peningkatan efisiensi yang signifikan, tetapi juga berarti bahwa jalan perantara, parameter, tuduhan, urutan implementasi menjadi lebih rentan untuk menutup pandangan pengguna. Dan itu bertentangan dengan latar belakang yang menunjukkan dua arah paralelSalah satunya adalah melanjutkan eksplorasi jalan interaktif berdasarkan niat, untuk memungkinkan pengguna untuk mengekspresikan "apa yang saya inginkan" dan sistem untuk menemukan jalur dan implementasi lengkap; yang lain adalah untuk memajukan "Unified & Amp; Verivitable UI" untuk membawa "antarmuka itu sendiri bisa menjadi wajah serangan" secara eksplisit ke jangka panjang proposisi di tingkat produk。

Ini sebenarnya adalah pergeseran yang paling penting dalam tugas untuk dompet generasi berikutnya。

Di masa lalu, dompet lebih seperti alat tanda tangan untuk mengirim aksi konfirmasi pengguna ke rantai; sebaliknya, pada tahap keterlibatan Agen bertahap dalam proses interaktif, dompet tidak bisa menjadi saluran tunggal, tetapi harus menjadi titik pemeriksaan definitif terakhir sebelum eksekusi. AI dapat bertanggung jawab untuk memahami permintaan, menghasilkan program, jalan perencanaan, tetapi dompet harus bertanggung jawab untuk memproduksi probabilitas ini dan menerjemahkannya ke unsur-unsur penegakan definitif bahwa pengguna dapat memvalidasi, sistem dapat mengesahkan dan aturan dapat mengikat。

Dalam hal ini, apa yang benar-benar sesuai dengan "Terverifikasi UI" bukanlah konsep desain antarmuka tingkat tinggi, tapi model keamanan interaktif baru, atau bahkan yang baruIni lebih seperti teka-teki bawah yang hampir selalu harus diselesaikan setelah tahap berikutnya dompet。

Di masa lalu, industri telah menekankan "bukan kunci Anda, bukan koin Anda", tetapi dalam era ketika niat adalah untuk mengemudi dan menerapkan Agen, diperlukan untuk menambahkan kalimat berikut: Antarmuka Anda juga harus menjadi salah satu yang Anda dapat memvalidasi。

Pada akhirnya

Setelah insiden Kelp DAO, ada diskusi besar dalam industri tentang konfigurasi DVD, kontrol angin LRT, jalur jembatan dan pemeriksaan resiko tunggal。

Diskusi ini memiliki manfaat mereka。

Tetapi jika kecelakaan dengan biaya ratusan juta dolar akhirnya disimpulkan sebagai "yang menandatangani kurang" itu tidak benar-benar dipahamiHal ini bahkan tepat untuk mengatakan bahwa efisiensi, likuiditas dan manfaat banyak produk rantai hari ini masih didasarkan pada asumsi tunggal-titik bahwa pengguna tidak dapat melihat atau memverifikasi。

Itulah sebabnya sentralisasi tidak pernah kebalikan dari efisiensi, tetapi garis bawah keselamatan。

Era keamanan bangunan pada skenario tunggal-titik perlu berakhir。