46 menit, dicuri $292 juta, DeFi menemukan kembali perkembangan
Penulis: ChainCatcher
Pada jam-jam awal 18 April, hanya dua minggu setelah pencurian Drift lebih dari $200 juta, Kelp DAO, di bawah bendera Kernel, telah kembali memperbarui catatan pencurian industri enkripsi tahun ini: 116.000 rseths dikalikan, bernilai sekitar $292 juta。
Diketahui bahwa Kelp DAO adalah perjanjian sumpah triple berdasarkan EigenLayer. rsETH milik pemberian jaminan cair (LRT) yang dikeluarkan oleh Kelp DAO dan dimaksudkan untuk memberikan likuiditas bagi aset non-liquid yang diendapkan pada platform penggabungan ulang (misalnya EigenLayer)。
Tim inti perjanjian berasal dari India. Pada September 2024, perjanjian tersebut dibiayai dengan $9 juta, dengan partisipasi sejumlah besar investor terkemuka, termasuk Laser Digital, Banks Ventures dan Hypersphere Ventures. Nilai total perjanjian saat ini lebih dari $1,5 miliar. Pada tahun yang sama, perusahaan induknya, Kernel, juga menerima investasi dari Yzi Labs, yang memiliki hubungan dekat dengan mata uang。
Namun, latar belakang dan prestasi yang pernah membanggakan ini tiba-tiba hancur dalam kecelakaan tragis ini。
Pemalsuan rantai silang yang mematikan dan biaya \"tunggal\"
Menurut catatan awal pembongkaran rantai, serangan itu bukan serangan ulang tradisional atau pinjaman flash, tetapi serangan presisi berdasarkan pemalsuan informasi rantai silang。
Alasan yang mendasari untuk ini adalah bahwa adaptor jembatan rsETH antara rantai gagal melakukan verifikasi source " yang ketat" dari informasi dari protokol cross-chain bawah. Penggodam itu memalsukan perintah pembebasan aset yang sah, memaksa kontrak jembatan Kelp untuk salah menilai aset timbal balik yang terkunci di rantai asal, dengan demikian memperoleh dalam pelaksanaan perintah hacker, melepaskan $ 292 juta senilai rseTH dalam jaringan Etherman。
Beberapa 46 menit setelah serangan, tim DAO Kelp meluncurkan mekanisme suspensi darurat. Meskipun operasi tersebut berhasil mencegat dua upaya penarikan mundur setelah itu berjumlah 40.000 rseth (kira-kira $100 juta), hampir 20 persen dari peredaran rseth (116.000) telah jatuh ke dalam kantong hacker。
Setelah itu, para hacker memasukkan rSETH ini ke dalam Aave V3 sebagai jaminan untuk meminjam sejumlah besar WeTH yang sangat mobile. Rupanya, para hacker tidak akan mengembalikan aset itu, dan jaminannya, RESETH, tidak memiliki aset bawah yang nyata karena itu adalah penumpukan palsu, meninggalkan Aave dengan utang yang buruk sekitar $177 juta, yang mungkin akan ditanggung oleh semua depostor Aaave。
Dalam proses ini, masalah terbesar adalah dalam kontrak jembatan untuk Layerzerro. Corider The LayerZero cross-chain kontrak yang digunakan oleh Kelp DAO adalah konfigurasi 1/1 DVD, konfigurasi yang disebut "single" tunggal, yang dapat dikonfirmasi oleh sebuah certifier tunggal melalui pesan silang rantai, sementara dokumen resmi LayerZero lalai untuk merekomendasikan 2/2。
Setelah kejadian itu, token Verzero Lapisan ZRO pernah jatuh lebih dari 40 persen, Aave token AAVE memuncak pada 22 persen, dan Kelp DAO terkait pihak Kernel token sekarang jatuh oleh lebih dari 13 persen. Selain itu, beberapa proyek, seperti Solv, telah diumumkan untuk menghentikan jembatan Layer Zero OFT。
Keruntuhan sistematis Struktur Lego DeFi
Sebelum kejadian ini, Aave tidak pernah memiliki insiden keamanan, yang, meskipun tidak karena kode kontraktual sendiri, masih dikaitkan dengan penilaian risiko perjanjian ' s token LRT seperti dan pengaturan karantina. Pada bulan Januari tahun ini, Spark Protocol telah jatuh dari aset-aset low-life seperti rsETH dan terus mengencangkan agunan dan fungsionalitas, meninggalkan perjanjian tidak terpengaruh oleh gelombang saat ini。
Saat ini, nilai penguncian rantai Aave telah jatuh dari $26.390 juta kemarin menjadi $21.766 juta, dengan penarikan tunggal $4.6 miliar. Pada saat yang sama, sejumlah besar pengguna pinjaman beralih ke perjanjian pinjaman lainnya, ETH meminjamkan permintaan di pasar lonjakan, dan tingkat deposito ETH kolam renang Spark meningkat pesat dari 1,7 persen menjadi 5 persen。
Sebagai tanggapan atas insiden tersebut, pendiri Curve, Michael Egorov, menulis bahwa insiden tersebut adalah risiko yang ditimbulkan oleh model peminjaman yang tidak dipisahkan" model yang sekarang banyak digunakan. Model ini memiliki lingkup ekspansif yang baik, tetapi risikonya lebih tinggi dan manajemen risikonya kritis. Salah satu pendekatan adalah model segregasi yang lengkap, seperti halnya di Curve Finance, dan yang lainnya model hibrida (kompleks tetapi layak). Namun, sekarang ini, pasar tidak sepenuhnya memahami keuntungan program - program ini. model Aave v4 mungkin merupakan langkah menuju semi-separasi dan lebih aman。
Saat ini, sebagian besar perjanjian pinjaman utama mengadopsi model pool likuiditas bersama dan hampir semua aset pinjaman berbagi likuiditas dan risiko, seperti Aave, Compund, Spark, dll. Hanya beberapa perjanjian pinjaman, seperti Morpho, Kamino, dan Euler, yang mengadopsi model kolam isolasi. Ini pada intinya adalah perdagangan antara efisiensi dan keamanan dalam penggunaan dana。
Dan dalam versi V4 dari Aave, yang mulai online pada akhir Maret tahun ini, konsep Hub dan Spoke diperkenalkan, masing-masing, dan Hub (Centre / Liquidity Hub) adalah hub likuiditas pusat yang memegang semua aset dan akuntansi global. Spoke (radiasi) adalah portal modular interaktif langsung pengguna yang bertanggung jawab untuk aturan peminjaman dan pengendalian risiko spesifik。
Setiap Spoke menyediakan fungsi peminjaman spesifik (supply, peminjaman, pembayaran, penarikan) dan memiliki parameter risiko terpisah: berbagai jenis agunan, aturan likuidasi, model suku bunga, E-Mode, Mode Asosiasi, dukungan RWA, dll。
Ini berarti bahwa Aave akan mampu mengendalikan risiko keseluruhan yang ditimbulkan oleh aset tunggal dengan memutuskan, atas dasar kasus demi kasus, apakah untuk menetapkan kolam yang sepenuhnya dipisahkan dari meminjam aset untuk berbagai jenis risiko dan alam。
Selain itu, pemain DeFi terkenal, Benmo, mengangkat lima poin sebagai tanggapan atas insiden tersebut:
PERTAMA, KEAMANAN ASET YANG DIPAKETKAN, SEPERTI LRT, TIDAK DAPAT DIBANDINGKAN DENGAN ASET ASLI, DAN PLATFORM PEMINJAMAN TIDAK MENEBAL KEDUANYA SAMA DENGAN JAMINAN
Kedua, L0 kehilangan bagian dari pasar rantai silang di tindak lanjut, dan aset ganda, seperti usde, usd0, sudah menghentikan rantai silang L0, dan bahkan mungkin pemulihan bisnis akan menyulitkan untuk mengembalikan kredibilitas。
Ketiga, runtuhnya emas AAVE dan masuk kembalinya keamanan pasar pinjaman skala besar ke dalam fase pemeriksaan paus, dengan setiap aset hipotek tambahan meningkat sama risiko aset hipotek asli, ketidakadilan alami terhadap aset asli, dan tren menuju V4 dan modularisasi produk pinjaman, yang kemungkinan untuk mempercepat. Operasi peminjaman dan peminjaman untuk sementara dipilih daripada meminjamkan platform atau kurator, tetapi biaya operasi tersebut semakin meningkat。
Keempat, biaya akuisisi tvl L2 akan ditingkatkan lebih lanjut, dan sekarang tingkat tvl akan mengalir lebih lanjut kembali ke L1.
Fifthly, Defi berhenti memperpanjang rute dan kembali ke model keamanan konservatif, lebih lanjut mencegah pemindaian Anthropic Mythos。
Dari Drift ke Kelp DAO, dua insiden keamanan utama dalam jangka waktu yang singkat telah menunjukkan bahwa DeFi 's \"tied-up\" struktur keuangan, menyebabkan keruntuhan sistemik pada satu titik, tiba-tiba akan berkembang menjadi industri-lebar tekanan likuiditas. Di masa lalu, pandangan ini ada terutama dalam teori, dan sebagian besar dampak insiden keamanan telah tetap pada perjanjian individu, yang terjadi secara tragis。
Ini bukan hanya pengadilan perjanjian rantai silang dan perjanjian pinjaman, tetapi juga pukulan besar bagi kepercayaan pengguna。
” Tidak ada lagi Defi, hanya ETH asli, tidak ada jaminan atau deposit, tidak ada bunga. Kata KOL laolu。
Keluar dari Defi dulu. Ini terlalu berbahaya. Kali ini, tulang retak lebih besar daripada Drift/Cowswap's..."dan investor DeFi terkenal Dovey Wang berbagi pandangan yang sama。
