Dari peristiwa Kelp DAO ke UI Dapat Diverifikasi: Mengapa antarmuka yang dapat diverifikasi" lantai keselamatan yang baru didesentralisasikan

Di rantai, dunia DeFi, ada lagi kecelakaan keamanan ganda dari miliaran dolar。

Pada 18 April, dengan menggunakan 1-of-1 DVD rute Kelp DAO's Layer Zero, dan tanpa konfigurasi verifier alternatif, para penyerang secara palsu merilis 116.500 rsETH kontrak, meninggalkan Aave menghadapi kemungkinan utang buruk antara $123,7 juta dan $230,1 juta dalam skenario pembagian kerugian yang berbeda。

Tujuan obyektif, ini bukan hanya insiden keamanan DeFi terbesar sejak 2026, tapi lebih penting lagi adalah untuk menembus asumsi struktural bahwa seluruh industri telah menerima sebelumnya:Untuk kepentingan efisiensi, likuiditas dan profitabilitas, meningkatkan keamanan sedang diinvestasikan secara diam-diam dalam beberapa standar kredibel perantara。

Pertama, kegagalan mekanisme desentralisasi di belakang DAO Kelp

Jika peristiwa Kelp DAO dipahami sebagai gelombang keamanan berantai biasa, mudah untuk meremehkan implikasinya untuk seluruh risiko struktural DeFi。

Kellp DAO, sebagai protokol Liquid Restanking (mobile re-commitment) dalam ekologi Pasifik, secara teoritis pengguna dapat memperoleh rsETH sebagai sertifikat, tidak hanya di web utama, tetapi juga di amplop OFT standar LayerZero, yang dikerahkan pada 20 rantai seperti Base, Arbitrum, Linea, Blast, Mantle, Scroll, dll。

Dengan kata lainKontrak antar-rantai di sisi lain ETPC menyimpan semua cadangan ETH, sementara sisanya pada dasarnya adalah \"bill lading for the main network reserve\"INI JUGA BERARTI BAHWA SISTEM DIDASARKAN PADA PREMIS BAHWA JANGKAR OFJUMLAH JANGKAR DALAM JARINGAN UTAMA SELALU LEBIH BESAR DARIPADA ATAU SAMA DENGAN BILANGAN YANG TERDAPAT PADA RANTAI L2" TIDAK DAPAT DIHANCURKAN。

Dan apa yang penyerang lakukan adalah dasar dari apa yang tampaknya menjadi kendala sederhana tapi penting. Dia hanya memalsukan Ælegimate" " "lawful" "LayerZero" cross-link, meyakinkan kontrak jembatan utama bahwa itu adalah perintah pembayaran dari rantai lain kepatuhan dan dirilis 116.500 rseTHs。

Kunci untuk masalah tersembunyi dalam konfigurasi pengesahan LayerZeroAndorgane Kelp DAO menggunakan konfigurasi DVD 1/1, memungkinkan node autentikasi untuk menandatangani cukup untuk merilis pesan cross-linkDan Opsir LayerZero sebenarnya merekomendasikan 2/2 dan bahkan redundansi certifier berganda, dan risiko 1/1 ini telah diperingatkan publik oleh peneliti keamanan seawal Januari 2025, tetapi belum dimodifikasi dalam 15 bulan

Inilah sebabnya mengapa sulit untuk hanya mengklasifikasikan insiden sebagai "jembatan telah dihitamkan" atau "perjanjian tertentu belum cukup dikendalikan", yang mengekspos risiko dua lapis, satu titik tunggal:

• Level pertama adalah sertifikasi poin tunggal: DVN secara teoretis dirancang sebagai kombinasi model keamanan X-of-Y-of-N yang mendukung validasi independen multiple untuk memenuhi kebutuhan keamanan yang berbeda, tetapi legitimasi seluruh pesan dalam KelpDAO dikurangi menjadi atidak masalah dengan node validasi" asumsi
• Tingkat kedua adalah titik tunggal cadangan: setelah kolam cadangan jaringan utama tertusuk, rsETH pada rantai lain segera berhenti menjadi aset rantai silang dan membongkar esensi IOU, yang dibangun di atas jangkar jaringan utama tunggal

KapanJika satu titik autentikasi dan satu titik tunggal saham ditumpuk bersama-sama, risiko tidak akan lagi tetap dalam satu perjanjian, tetapi akan tumpah sepanjang portofolio DeFi ' s。

Inilah sebabnya mengapa Aave segera membekukan pasar rSETH/wrSETH setelah kecelakaan, menyesuaikan model suku bunga WETH, dan lebih lanjut membekukan beberapa pasar WETH untuk mencegah tekanan menyebar ke aset yang lebih banyak. Meskipun Aave sendiri tidak diretas, jaminannya disusupi, likuidasi diblokir, kesehatan si peminjam membahayakan dirinya dari utang yang buruk。

Dan, jika sudut pandangnya dinaikkan, logika \"outsourcing safety to a one point\" tidak hanya hadir di jembatan dan di certifier, tetapi juga pada titik di mana pengguna menghadapi setiap hari, tetapi jarang dibahas secara positif — antarmuka。

Dari "assets swa-custody" ke "interaktif validasi": yang paling mudah diabaikan titik kepercayaan tunggal

Komunitas Web3 memiliki pepatah lama: Jangan percaya, Verifikasi。

Penafsiran resmi ETA terhadap kalimat dalam memperkenalkan node cukup mudah: menjalankan node Anda sendiri berarti Anda tidak perlu percaya apa yang seseorang katakan, karena Anda dapat memvalidasi data sendiri, bukan outsource itu ke penyedia data pusat。

Prinsip ini dimasukkan ke dalam dompet dan antarmuka DeFi, yang sama validnya。

Dompet non-host seperti imToken, yang pada dasarnya adalah akses pengguna ke akun, adalah assetsmelihat aset Anda, mengirimkan transaksi, aplikasi login" jendela. Dompet itu sendiri tidak mempercayai uang Anda, juga tidak kunci pribadi memegangnya di platform. Selama beberapa tahun terakhir, industri ini juga mulai menerima pentingnya "asset trust" isu, dan semakin banyak orang mulai memahami desertifikasi yang sebenarnya, bukan hanya dengan menempatkan mata uang dalam rantai, tetapi dengan menyerahkan kontrol aset kepada pengguna itu sendiri。

Tapi masalahnya adalah, sementara kita menempatkan penekanan yang meningkat pada \"pengakuan diri\" di tingkat aset, masih ada banyak keakuratan di tingkat pemotongan silang untuk outsourcing yang lebih halus, yaitu memahami makna transaksi, menilai hasil panggilan, dan memberikan kepercayaan pada keaslian antarmuka ke front-end saat ini。

Ini adalah salah satu risiko paling rentan dari DeFi hari ini:Apa pengguna menandatangani kesepakatan yang dia pikir dia menandatanganinya

Bisa dikatakan bahwa dalam interaksi rantai hari-ke-hari, pengguna dihadapkan dengan hampir tidak ada rantai per se, tetapi dengan lapisan antarmuka paket, seperti DApp depan halaman web, jendela dompet, pernyataan routing yang diberikan oleh polimer, dan bahwa masa depan juga akan mencakup panggilan otomatis dan konfirmasi dari hasil Agen, yang akan memberitahu Anda bahwa " Anda menyetor 100 ETH ke dalam strategi", Anda akan mendapatkan beberapa keuntungan tahunan", Anda hanya membuat mandat biasa."。

namun apa itu calldata yang sebenarnya ditandatangani, disiarkan dan dirantai, dan apakah deskripsi depan-akhir benar-benar konsisten dengan eksekusi tingkat bawah, dan kebanyakan pengguna tidak memiliki kapasitas untuk secara independen memeriksanya。

Dan itulah sebabnya, secara historis, ada pembajakan front-end berulang, penggantian alamat, penyamaran otorisasi jahat yang tampaknya berbeda jenis insiden keamananGaris bawah sebenarnya menunjuk pada masalah yang sama, yaitu transaksi yang ditandatangani oleh pengguna, tidak selalu yang menurutnya ditandatanganinya。

Dari sudut pandang ini, peristiwa Kelp DAO tidak hanya membongkar isu validasi titik-tunggal dalam jalur jembatan, tetapi merupakan pengingat logis dari meremehkan lama lain dari industri secara keseluruhan, misalnya, dalam banyak interaksi rantai, antarmuka itu sendiri adalah satu titik baku yang dipercaya tetapi jarang divalidasiSaat Anda klik "mengakui," Anda benar-benar meletakkan panggilan tepat dan bertaruh pada "muka tidak berbohong."。

Ini juga memperkenalkan konsep "Terbukti UI"。

"U UI yang dapat diverifikasi" adalah antarmuka yang dapat diverifikasi". Ini bukan tentang membuat akhir depan lebih baik, ini bukan tentang menulis jendela tanda tangan lebih populer, ini tentang mencobaKonten yang disajikan dalam antarmuka dihubungkan dengan panggilan yang dapat diverifikasi oleh pengguna, divalidasi oleh dompet, atau dilacak setelahnya。

Dengan kata lain, yang ingin dilakukan adalah tidak "melakukan informasi menunjukkan atau tidak"tetapi "melakukannya benar-benar sesuai dengan apa yang terjadi dalam rantai," yang berarti:

• dompet, sebelum penandatanganan, seharusnya tidak hanya ditampilkan kepada pengguna urutan data heksadesimal, juga tidak seharusnya hanya mereproduksi narasi sepihak yang diciptakan oleh ujung depan, tetapi harus, sejauh mungkin, mengembalikan data nama ke manusia dapat dibaca dan maksud operasional semantik
• Setiap langkah yang digambarkan oleh antarmuka juga harus mampu memetakan bukti-bukti yang dapat diverifikasi pada rantai, daripada beristirahat pada seperangkat logika interpretatif yang diyakini pengguna valid
• Hanya kemudian akan kesenjangan antara apa yang Anda pikir Anda lakukan dan apa yang benar-benar terjadi pada rantai berhenti menjadi sulit untuk-mencapai membagi kognitif

Ketika ini ditetapkan, antarmuka bukan lagi jendela kaca yang memungkinkan pengguna untuk percaya tetapi tidak dapat memverifikasi secara independen, lebih seperti instruksi implementasi yang pengguna dapat secara pribadi mengkonfirmasi dan dapat kembali。

Jika hanya untuk melihat DeFi hari ini, validasi antarmuka tetap menjadi subjek dari meremehkan serius; tetapi jika skala waktu sedikit lebih panjang, itu akan segera bergerak dari \"optimasi keamanan layak diskusi\" ke \"kemampuan dasar yang tidak dapat ditunda lebih lanjut.\" Karena jalan interaktifnya, ada migrasi yang tenang tapi jauh mendekati。

3. UI Terverifikasi

Jika peristiwa Kelp DAO terkena satu poin saja masalah kepercayaan diri yang telah ada selama bertahun-tahun dalam arsitektur DeFi lama, maka UI "Verifikasi" merupakan fase baru yang sudah dimulai。

ETHUX, sebuah grafik ETA UX, telah jelas menyisir inti interaksi hari ini pada rantai: Transaction Clarity, Cross-chain Flow, Safety & Security selalu menjadi kategori inti dari titik nyeri, tanda tangan buta, kelelahan penandatanganan, nyeri Bridging, pembentukan aset, dan hampir semua pengguna lama akrab dengan masalah ini。

APA YANG DI BALIK INI BUKANLAH PENDIDIKAN PENGGUNA TIDAK CUKUP," TETAPI ITU FAKTA YANG LEBIH MENDASAR. UX DAN KEAMANAN TIDAK PERNAH SAMA DI DUNIA RANTAI。

Dengan kata lain, dalam banyak kasus, itu adalah risiko keamanan terbesar dalam dirinya sendiri。

Dan sebagai paradigma interaktif bergerak dari "user klik satu langkah di ujung depan DApp" ke "pengguna ekspresi niat, sistem secara otomatis menyelesaikan implementasi", masalah hanya akan diperbesar dan tidak akan melemah。

Setelah semua, di era akhir-depan tradisional DApp, pengguna setidaknya dapat melihat tombol, halaman, jendela yang berwenang, bahkan jika mereka tidak sepenuhnya dipahami, dan setidaknya dapat mengaburkan persepsi dari "Saya melakukan beberapa langkah," " ini adalah otorisasi atau transfer", Saya melintasi rantai atau deposit."。

Tapi setelah kita memasuki Zaman, ini terlihat rasa proses akan dikurangi secara signifikan. Pengguna-pengguna Zeador tidak lagi membuka titik demi titik, Router, Bridge, Vault, Lending Market untuk mengkonfirmasi setiap panggilan, tetapi lebih mungkin untuk mengatakan kepada dompet AI: "Turn ETH saya menjadi strategi pendapatan yang lebih stabil", "Base to Base, kontrol titik luncur maksimum" dan "hanya memungkinkan Agen ini menghabiskan 100 USDT dalam waktu 24 jam" dan menunggu hasil "completed"。

Tentu saja, ini berarti peningkatan efisiensi yang signifikan, tetapi juga berarti bahwa jalur perantara, parameter, otorisasi, urutan implementasi semakin rentan untuk melipat keluar dari tampilan pengguna. Dan itu bertentangan dengan latar belakang ini yang imtoken menyarankan dua arah paralelSalah satunya adalah untuk terus mengeksplorasi jalur interaktif berdasarkan maksud, untuk memungkinkan pengguna untuk menyatakan "apa yang saya inginkan" dan sistem untuk mencari jalur dan implementasi lengkap; yang lain adalah untuk memajukan "Unified & Amp; Verifiable UI" untuk membawa "interface sendiri bisa menjadi wajah serangan" secara eksplisit untuk proposisi jangka panjang pada tingkat produk。

Ini sebenarnya tugas yang paling penting untuk dompet generasi berikutnya。

Di masa lalu, dompet lebih seperti alat tandatangan untuk mengirim tindakan konfirmasi pengguna ke rantai; sebaliknya, pada tahap keterlibatan Agen ' s bertahap dalam proses interaktif, dompet tidak bisa menjadi saluran tunggal, tetapi harus menjadi titik pemeriksaan definitif terakhir sebelum eksekusi. AI AI dapat bertanggung jawab untuk memahami permintaan, menghasilkan program, perencanaan jalur, tetapi dompet harus bertanggung jawab untuk menghasilkan probabilitas ini dan menerjemahkannya ke dalam elemen penegakan definitif yang dapat divalidasi pengguna, sistem dapat memvalidasi dan aturan dapat mengikat。

Dalam pengertian ini, apa yang benar-benar sesuai dengan "Verofiable UI" bukanlah konsep desain antarmuka tingkat tinggi, melainkan model keamanan interaktif baru, atau bahkan yang baruIni lebih seperti teka-teki bawah yang hampir selalu harus diselesaikan setelah fase berikutnya dompet。

Di masa lalu, industri telah menekankan "bukan kunci Anda, bukan koin Anda," tetapi di era ketika niat itu adalah untuk mendorong dan menerapkan Agen, itu diperlukan untuk menambahkan kalimat berikut: Antarmuka Anda juga harus menjadi salah satu yang dapat Anda validasi。

Pada akhirnya

Setelah insiden Kelp DAO, banyak sekali diskusi di industri tentang konfigurasi DVD, kontrol angin LRT, jalur jembatan dan pemeriksaan risiko poin tunggal。

Pembahasan ini memiliki manfaat mereka。

Tetapi, jika kecelakaan dengan biaya ratusan juta dolar akhirnya disimpulkan sebagai "yang menandatangani kurang" itu tidak benar-benar dipahamiBahkan tepat untuk mengatakan bahwa efisiensi, likuiditas dan manfaat banyak produk rantai s saat ini masih didasarkan pada asumsi titik tunggal bahwa pengguna tidak dapat melihat atau memverifikasi。

Itulah sebabnya mengapa sentralisasi bukanlah kebalikan dari efisiensi, melainkan ke bawah garis keselamatan。

Era keamanan bangunan pada satu-titik skenario perlu berakhir。