Depth reset ulang Kelp DAO 2,92 miliar dalam perampokan berantai: risiko dan hasil defi sangat tidak cocok, dan di mana pelanggaran enkripsi

Pedang Damocles karya DeFi di Dark Forest jatuh lagi dalam beberapa minggu setelah hacking senilai $285 juta yang terjadi pada awal bulan。

Beberapa hari belakangan ini, Kelp DAO mengalami bencana peretasan aset sebesar $292 juta. Bukan hanya itu saja badai menguras perbendaharaan Kelp DAO, tapi portofolio DeFi dengan cepat dikirim ke raksasa pinjaman, Aave, yang langsung membawa lebih dari $ 200 juta dalam nasib buruk。

Ketika asap menyebar, proyektor jatuh ke pintu satu sama lain. Nakhodan sebagai sebuah agen yang telah lama diterjunkan dalam-dalam-terlampir agen-level aset digital patuhKecamatan CactusMenurut Anda, kabus teknologi dari ” racun RPC”, perampokan berantai, menimbulkan siksaan jiwa yang sangat serius terhadap seluruh industri: apakah hasil DeFi saat ini yang sangat rendah pada ketidakcocokan serius dengan risiko yang sangat tinggi? Dalam gelombang yang berorientasi pada masa depan dari manajemen institusional, telahkah lengkap \"de-centreization\" menjadi penutup bagi celah keamanan

Pemulihan dari perampokan: keracunan bawah, single-signing telanjang dan hacking

Kombinasi antara para ahli informasi dan keamanan resmi telah diulangi, dan serangan tersebut merupakan \"serangan sampingan\" yang direncanakan dengan baik。

1. Metode serangan: node RPC (RPC Poisoning)

Menurut pernyataan dan analisis LayerZero resmi oleh para ahli seperti kosinus kabut lambat, titik masuk untuk serangan bukanlah celah kode dalam kontrak cerdas itu sendiri, tetapi titik RPC bawah dibajak atau tercemar oleh para peretas. Ini membuat Layer Zero menerima dan memproses data berbahaya yang ditempa selama transmisi rantai silang。

. . 2 . Lubang hitam defensif mematikan: 1/1 mekanisme tandatangan tunggal

Namun, polusi hanya nodal tidak cukup untuk menggulung mendekati $300 juta dalam sekejap. Sebagai enkripsi KOL Richard Heart menunjukkan dengan darah: ada 1/1 (pisah) izin yang ditetapkan di jantung masalah. Ini berarti bahwa gerbang brankas, yang mengontrol ratusan juta dolar likuiditas, hanya terkunci dalam kunci biasa. Tanpa kunci dan cek ganda dan keseimbangan, sewaktu data bawah terkontaminasi, para hacker mendapatkan ” terobosan yang tak terbantahkan” dan terobosan tunggal menyelesaikan transfer besar dana epik。

Uang melacak: jaringan pencucian uang dari Kelompok Lazarus

Analisis pelacakan analisis rantai lembaga data terkenal, Chainalisis dan Wu, lebih lanjut mengkonfirmasi identitas para penyerang: diduga organisasi peretas nasional Korea Utara Lazarus Group. Data dari Chainalysis menunjukkan bahwa dana curian telah tersistematisasi pada tingkat yang sangat tinggi dalam jangka waktu yang sangat singkat dan telah dipindahkan dengan cepat ke jaringan host ITA melalui rute-rute pencucian uang peretas Korea yang khas seperti Jembatan Trans-chain dan Mixer. Entri organisasi APT tingkat negara bagian ini membuat garis pertahanan DeFi yang sudah rapuh sebagai selembar kertas。

\"Old II\". Efek sit-in dan Gerbang Roma: kerentanan sistemik DeFi Lego

Setelah kecelakaan itu, lelucon tentang \"siapa yang bertanggung jawab\" dimulai。

• Kelop DAO dan LayerZero saling merobek satu sama lain: Kelp DAO mengarahkan tombak di LayerZero, percaya bahwa pelanggarannya dalam infrastruktur rantai silang menyebabkan bencana, sementara LayerZero bersikeras bahwa perjanjian rantai silang masih utuh dan keliru untuk proyek ' s buta kepercayaan pada data node RPC。
• Ini adalah situasi Aave. Sebagai aset Kelp DAO (misalnya rsETH) banyak digunakan sebagai agunan di Aave, pencurian Kelp DAO segera mengakibatkan nilai agunan menjadi nol. Karena banyak pengamat industri mengatakan, \"Ini tidak aneh, Aave\". Garis pertahanan Aave adalah \"ditemukan\" dari luar oleh rekan-rekan eko, dan meskipun aave akan menggunakan dana perlindungan Umbrella untuk menebus kerusakan, ini telah mengekspos krisis DeFi Lego \"terus\"。

Ini juga menegaskan peringatan dari komunitas Chainlink, Zach Rynes, bahwa Resistance adalah menambahkan terlalu banyak pengaruh pada Etherwood, dan bahwa kerusakan sistemik akan tak terkira jika bawah runtuh。

/ III. Penyiksaan jiwa: Apakah keuntungan dan risiko DeFi telah serius tidak cocok

Dalam gelombang ini, Yishi OneKey mengemukakan sebuah titik kritis: pasar akan segera menilai ulang risikonya。

Selama waktu yang lama, diaspora dan institusi telah mengejar APYs digital tunggal (annuualized rate of return) atau titik tidak ada "Points" di DeFi, dengan 100 persen kepala sekolah dengan risiko nol. Risiko ini dan ketidakcocokan yang serius dari pengembalian bertopeng dalam semangat pasar ternak, tetapi terkena parang hacker。

Alasan yang lebih mendalam adalah bahwa perjanjian DeFi umumnya menggunakan model \"low rate\" agar dapat bersaing untuk TVL (total lock volume). Jumlah pendapatan kesepakatan sederhana tidak mendukung tingkat tinggi investasi keamanan yang dibutuhkan untuk melawan peretas nasional. Proyek proyek ini mengelola ratusan juta dolar aset dengan struktur yang sangat sederhana \"meja grasss\", pada dasarnya merupakan model yang tidak berkelanjutan dari \"privatisasi hasil, sosialisasi risiko\"。

\"OV IV\". Masa depan manajemen institusional: penting untuk mematuhi

Ketika kontrak cerdas dan pemerintahan terdesentralisasi tidak melindungi kepala sekolah kita, industri harus menghadapi masalah yang nyata: Apakah ada kebutuhan untuk merangkul kembali independen, profesional, profesional, sentralisasi kepatuhan hosting untuk berorientasi masa depan dilembagakan pendanaan massa

Dalam konteks Web3, tampaknya pengenalan \"kepercayaan terpusat\" tidak benar secara politis. Namun tragedi Drift Protocol dan Kelp DAO memberitahu kita bahwa sangat berbahaya untuk mencampur logika bisnis (kontrak pintar) dengan hak asuh uang (private key control)。

Untuk proyektor DeFi, yayasan publik dan investor institusional yang mengelola uang dalam jumlah besar, pengenalan kustodian kepatuhan seperti Kecamatan Kaktus bukan sekadar kemunduran sejarah, tetapi kebutuhan akan infrastruktur keuangan menjadi matang:

Mengecilkan kegagalan dan pemisahan wewenang dan tanggung jawab

Pengembang protokologi harus fokus pada inovasi dalam logika bisnis, meninggalkan hak asuh perbendaharaan dan aset inti kepada kustodian kepatuhan independen. Penyedia jasa jasa jasa hostis umumnya memiliki struktur kontrol angin tingkat perusahaan dan aliran persetujuan, benar-benar menghilangkan 1/1 dari praktik \"lari telanjang\" yang tidak masuk akal。

Ini adalah upaya untuk menjadi independen dari logika rantai

HACKERS DAPAT MENIPU PADA NODE RPC, MENGAMBIL KEUNTUNGAN DARI CELAH KODE, TETAPI TIDAK DAPAT MENYEBERANGI MESIN KONTROL ANGIN INDEPENDEN DARI COMPLIANCE TRUST. KETIKA SISTEM MENDETEKSI PERINTAH TRANSFER ABNORMAL YANG MELIBATKAN $292 JUTA, STRATEGI CUSTODIAN 'S ANGIN ADALAH UNTUK SECARA PAKSA MEMINTAS ATAS DASAR MAKSUD TRANSAKSI, UNTUK MEMAKSA KONFIRMASI PELANGGAN, PENINJAUAN KEPATUHAN DAN VERIFIKASI MULTI-SALURAN, DAN UNTUK MENJAGA DANA DI GERBANG TERAKHIR。

Kepencilan dan perlindungan fidusia

Sebagai pemegang kepercayaan yang berlisensi, Kecamatan Kaktus tunduk pada peraturan ketat, dengan aset pelanggan ' s secara fisik dan hukum terisolasi dari yang beroperasi perusahaan (insolvency). Perlindungan fidusia semacam ini di tingkat keuangan adalah dasar kepercayaan yang tidak dapat diberikan oleh kode yang layak。

Kata-kata palsu

Kellp DAO's $ 292 juta tidak hanya membeli pelajaran yang menyakitkan, tetapi juga mematahkan kemakmuran palsu jalur reinkarnasi. Dia harus menjauh dari model \"workshop\" manajemen keuangan ketika uang besar agensi datang。

Keamanan dan pengontrol angin harus didukung oleh uang dan perak dan sistem profesional. Kedepannya, perjanjian-perjanjian DeFi yang tidak memiliki akses untuk mematuhi kustodian dan yang tidak memberikan perlindungan aset institusional akan ditinggalkan oleh modal arus utama. Pilihan dari program hosting compliance tidak hanya tanggung jawab untuk aset tetapi juga batu penjuru untuk jangka panjang kelangsungan perjanjian di hutan gelap。