46 분, 도난 $ 292 백만, DeFi rediscovers 개발
저자: ChainCatcher
4 월 18의 초기 시간에서, 단지 2 주 후 드리프트의 도난 후 $200 백만, 케프 DAO, 커널의 플래그 아래, 다시 암호화 산업의 도난의 기록을 업데이트했습니다 올해: 116,000 rsETHs 다곱, 약 $292 백만。
Kelp DAO는 EigenLayer를 기반으로하는 트리플 서약 계약이라고 알려져 있습니다. rsETH는 Kelp DAO에 의해 발행된 액체약 토큰 (LRT)이고 re-committing 플랫폼 (e.g. EigenLayer)에 예금된 비액액체 자산을 제공하기 위하여 예정됩니다。
계약의 핵심 팀은 인도에서 있습니다. 9 월 2024에서 계약은 레이저 디지털, Banks Ventures 및 Hypersphere Ventures를 포함한 많은 유명 투자자의 참여와 $ 9 백만으로 금융되었습니다. 계약의 총 가치는 현재 $ 1.5 억 이상입니다. 같은 해에, 그것의 부모 회사, Kernel, 또한 Yzi Labs의 투자를 받았다, 통화에 ties를 닫았다。
그러나,이 한 번 자랑 배경과 업적은 갑자기이 tragic 사고에 얽혀 있었다。
Deadly cross-chain forgery 과 “single” 비용
체인 레코드의 초기 해체에 따르면, 공격은 전통적인 재 태크 또는 플래시 대출이 아니라 크로스 체인 정보의 위조를 기반으로 정밀 레이드가되지 않았습니다。
체인 사이의 rsETH 브리지 어댑터는 하단 크로스 체인 프로토콜의 정보의 엄격한 "source Verified"를 수행하지 못했습니다. 해커는 합법적 인 자산 출시 순서를 위조했습니다. Kelp의 다리 계약을 유도하여 원래의 사슬에서 잠겨있는 공적 자산을 잘못 판단하십시오. 해커의 지시의 실행에 익숙해져 Etherman의 네트워크에서 rsETH의 $ 292 백만의 가치를 방출합니다。
공격 후 약 46 분, Kelp DAO 팀은 비상 정지 메커니즘을 시작했다. 가동은 2 연속 인출 시도를 가로질러 40,000 rsETH (대략 $ 100 백만), rsETH 순환의 거의 20 퍼센트 (116,000)는 해커 포켓으로 떨어졌다。
따라서, 해커는 Aave V3에 이러한 rsETHs를 매우 모바일 WeTHs의 큰 숫자를 빌려주는 담보로 입금했습니다. 분명히, 해커는 자산을 반환하지 않을 것입니다, 그리고 그 측면, rsETH, 거짓 빌드 업이기 때문에 실제 하단 자산이 없습니다, 약 $177 만의 나쁜 채무로 떠나, 이는 모든 Aaave 증인에 의해 부담 될 것입니다。
이 과정에서 가장 큰 문제는 Layerzerro의 교량 계약에 있습니다. Kelp DAO에 의해 사용되는 LayerZero 크로스 체인 계약은 1 / 1 DVD 구성, 소위 "싱글" 구성, 십자가 체인 메시지를 통해 단일 certifier에 의해 확인 될 수, 동안 LayerZero 공식 문서는 기본적으로 추천 2 / 2。
사건 후, Layerzero 토큰 ZRO는 40 퍼센트 이상 떨어졌다, Aave 토큰 AAVE는 22 퍼센트에 달했으며, Thelp Ke DAO 관련 파티 Kernel 토큰은 이제 13 퍼센트 이상 떨어졌다. 또한 Solv와 같은 여러 프로젝트는 Layer Zero OFT Bridge를 중지하도록 발표되었습니다。
DeFi의 Lego 구조의 체계적인 붕괴
이 사건 이전에, Aave는 자체 계약 코드로 인해 아니라 보안 사건이 없었지만 여전히 그러한 LRT 토큰과 quarantine 설정의 계약의 위험 평가에 연결되었습니다. 올해 1 월, Spark Protocol은 rsETH와 같은 저감 자산을 떨어 뜨리고 현재 파에 의해 결정되지 않는 계약을 체결하는 측면과 기능을 강화하기 위해 계속되었습니다。
현재, Aave의 총 체인 잠금 가치는 $ 26,390 만에서 어제 $ 21,766 만 달러로 떨어졌다, 단일 인출 $ 4.6 억. 동시에, 많은 수의 대출 사용자는 다른 대출 계약으로 전환, 시장의 ETH 대출 수요, 불꽃의 ETH 풀 예금 비율은 1.7 퍼센트에서 5 퍼센트로 빠르게 증가했습니다。
사건에 대한 응답에서, 곡선의 창시자, 마이클 Egorov는, 사건은 지금 널리 이용되는 “비 격리된 차폐” 모형에 의해 제안된 위험이었습니다. 모델은 좋은 expansive 범위를 가지고 있지만 위험은 높고 위험 관리가 중요합니다. 한 가지 접근법은 곡선 금융의 경우로서 완전한 분리 모델이며 다른 하이브리드 모델 (컴플렉스하지만 feasible)입니다. 현재, 그러나, 시장은 완전히이 프로그램의 장점을 이해하지 않습니다. Aave v4의 허브 및 스포크 (centre-radiation) 모델은 세미 분리 및 더 안전한 단계가 될 수 있습니다。
현재 대부분의 주류 대출 계약은 공유 유동성 풀 모델을 채택하고 거의 모든 대출 자산은 Aave, Compund, Spark 등과 같은 유동성과 위험을 공유합니다. Morpho, Kamino 및 Euler와 같은 몇 가지 대출 계약 만이 고립 풀 모델을 채택했습니다. 이것은 자금의 사용에서 효율성과 보안 사이의 거래 오프에 필수적입니다。
그리고 올해 3 월 말에 온라인으로 온 Aave의 V4 버전에서, 허브와 Spoke 개념이 도입되었습니다, 각각, 허브 (Centre / Liquidity Hub)는 모든 자산과 글로벌 회계를 보유하는 중앙 유동성 허브입니다. Spoke (radiation)은 특정 차용 규칙 및 위험 관리에 책임있는 사용자 간 대화 형 모듈 포털입니다。
각 스포크는 특정 대출 기능 (공급, 빌링, 상환, 인출)을 제공하고 별도의 위험 매개 변수를 가지고 있습니다. 담보, 유동성 규칙,이자율 모델, E-Mode, 협회 모드, RWA 지원 등의 다양한 유형。
Aave는 Aave가 위험과 성격의 다른 유형에 대한 자산을 빌링하는 완전히 분리 된 풀을 수립 할 수있는 경우에 따라 단일 자산에 의해 구성 된 전반적인 위험을 제어 할 수 있음을 의미합니다。
또한 잘 알려진 DeFi 플레이어 인 Benmo는 사건에 대한 응답 5 점을 제기했습니다
먼저, LRT와 같은 패키지 자산의 보안은 원래 자산과 비교할 수 없으며, 대출 플랫폼은 양측과 똑같이 두 가지를 포함하지 않습니다
두 번째, L0은 크로스 체인 시장의 일부를 잃고, usde와 같은 여러 자산, usd0, 이미 L0 크로스 체인을 중지하고, 아마도 심지어 비즈니스 복구는 신뢰성을 복원하기 어렵습니다。
세 번째로, AAVE 금의 붕괴와 대형 대출 시장의 보안의 재입원은 고래 검사 단계로, 각 추가 모기지 자산이 원래 모기지 자산의 위험을 증가, 원래 자산에 자연 부과, V4 및 상승 가능성이있는 대출 제품의 모듈화에 대한 추세. 보링 작업은 lending 플랫폼 또는 커레이터 대신 선택되지만 이러한 작업의 비용은 증가합니다。
4, L2의 tvl 취득 비용 더 증가 될 것 이다, 그리고 지금 tvl 수준 L1에 더 흐름.
다섯 번째, Defi는 경로 확장을 중지하고 보수적 인 보안 모델로 돌아, Anthropic Mythos의 스캔을 방지。
드리프트에서 Kelp DAO에 이르는 두 가지 주요 보안 사건은 DeFi의 "tied-up"금융 구조로 표시되어 모든 지점에서 체계적인 붕괴를 유발할 수 있으므로 업계 전체 유동성을 급격히 발전시킬 것입니다. 과거에,이 전망은 주로 이론에서 존재, 그리고 대부분의 보안 사건의 영향은 개인 계약에 남아, 이는 tragic 방법으로 일어나는。
이것은 크로스 체인 계약 및 대출 계약의 재판뿐만 아니라 사용자의 신뢰에 중요한 타격입니다。
"더 이상 Defi, 원래 ETH 만, 권고 또는 보증금이 없습니다. "Celebrated KOL laolu 말한다。
"Defi를 먼저 꺼내십시오. 그것은 너무 위험합니다. 이 시간, 골절 뼈는 Drift/Cowswap's..."및 유명한 DeFi 투자자 Dovey Wang은 동일한 보기를 공유합니다。
