Kedalaman mereset Kelp DAO 2.92 miliar dalam perampokan berantai: resiko dan hasil DeFi yang sangat tidak cocok, dan mana pelanggaran enkripsi

Pedang DeFi dari Damocles di Dark Forest jatuh lagi dalam beberapa minggu berikut $285 juta peretasan yang terjadi pada awal bulan。

Dalam beberapa hari terakhir, Kelp DAO menjadi sasaran bencana meretas aset sebesar 292 juta dolar. Tidak hanya menguras harta Kelp DAO, tapi portofolio DeFi cepat ditransmisikan ke raksasa, Aave, yang secara langsung membawa lebih dari $200 juta dalam nasib buruk。

Ketika asap menyebar, proyektor jatuh ke pintu satu sama lain. Sebagai tim compliance aset digital tingkat jangka panjangCactus CustodyKonsistensi bahwa kabut teknologi dari "racun RPC", perampokan berantai, melemparkan penyiksaan jiwa yang sangat serius pada seluruh industri: apakah hasil saat ini sangat rendah DeFi pada serius tidak cocok dengan risiko yang sangat tinggi? Dalam gelombang berorientasi masa depan manajemen institusi, telah lengkap "off-centreisasi" menjadi penutup untuk celah keamanan

Saya Pemulihan dari perampokan: keracunan bawah, tunggal-penandatanganan telanjang dan hacking

Kombinasi resmi informasi dan keamanan para ahli diulang, dan serangan itu baik - direncanakan "serangan downside"。

1. Metode penyerangan: titik RPC (RPC Poisoning)

Menurut pernyataan resmi LayerZero dan analisis oleh para ahli seperti kabut kosinus lambat, titik masuk untuk serangan itu bukan celah kode dalam kontrak cerdas itu sendiri, tapi titik RPC bawah dibajak atau terkontaminasi oleh hacker. Ini dipimpin Lapisan Nol untuk menerima dan proses ditempa berbahaya data selama lintas rantai transmisi。

Lubang hitam defensif mematikan: 1 / 1 mekanisme tanda tangan tunggal

Namun, polusi nodal hanya tidak cukup untuk roll dekat dengan $300 juta dalam sekejap. Sebagai enkripsi KOL Richard Heart menunjukkan dalam darah: ada 1 / 1 (terpisah) izin ditetapkan di jantung masalah ini. Ini berarti bahwa gerbang lemari besi, yang mengontrol ratusan juta dolar likuiditas, hanya terkunci dalam kunci biasa. Tanpa kunci dan pemeriksaan ganda dan keseimbangan, ketika data bawah terkontaminasi, hacker mendapatkan "lewat tak terkalahkan" dan tunggal-titik terobosan menyelesaikan transfer utama dana epik。

Penelusuran uang: jaringan pencucian uang dari Lazarus Group

Analisis pelacakan dari rantai agen data yang sangat dikenal, Chainalysis dan Wu, lebih lanjut mengkonfirmasi identitas penyerang: diduga organisasi hacker nasional Korea Utara Lazarus Group. Data dari Chainalysis menunjukkan bahwa dana curian telah sistematis pada tingkat yang sangat tinggi dalam jangka waktu yang sangat singkat dan dengan cepat ditransfer ke jaringan host ITA melalui khas bank hacker Korea pencucian rute seperti Trans- chain Bridge dan Mixer. Entri organisasi APT tingkat negara ini membuat garis pertahanan DeFi yang rapuh sebagai selembar kertas。

II. Status dan gerbang Roma: kerentanan sistemik dari DeFi Lego

Setelah kecelakaan itu, lelucon tentang "siapa yang bertanggung jawab" dimulai。

• Kelp DAO dan LayerZero saling merobek-robek: Kelp DAO menunjuk tombak di LayerZero, percaya bahwa penerobosan dalam infrastruktur rantai yang menyebabkan bencana, sementara LalerZero bersikeras bahwa perjanjian rantai silang masih utuh dan keliru untuk proyek 's buta kepercayaan pada data titik RPC。
• Yang paling dramatis dan berpikir-memprovokasi adalah situasi Aave. Sebagai aset Kelp DAO (misalnya rSETH) secara luas digunakan sebagai jaminan di Aave, pencurian Kelp DAO segera menghasilkan nilai dari jaminan menjadi nol. Seperti banyak pengamat industri mengatakan, "Ini tidak aneh, Aave". Garis pertahanan Aafve adalah "ditemukan" dari luar oleh mitra-eko-, dan meskipun aave akan menggunakan dana perlindungan Umbrella untuk membuat kerusakan, ini telah terkena DeFi Lego 's "terus" krisis。

Hal ini juga menegaskan peringatan dari komunitas Chainlink, Zach Rynes, bahwa Restaking menambahkan terlalu banyak pengaruh ke Etherwood, dan bahwa kerusakan sistemik akan tak terukur jika bagian bawah runtuh。

III. Penyiksaan jiwa memiliki keuntungan dan risiko dari DeFi telah serius tidak cocok

Dalam gelombang ini, OneKey 's Yishi menyampaikan titik kritis: pasar akan segera mengembalikan risikonya。

Untuk waktu yang lama, dispora dan lembaga telah mengejar single-digit APYs (tingkat pembatalan pengembalian) atau tidak ada titik "Points" di DeFi, dengan 100 persen dari kepala sekolah dengan resiko nol. Risiko ini dan serius tidak cocok kembali bertopeng dalam semangat pasar ternak, tetapi terkena parang hacker。

Alasan yang lebih dalam adalah bahwa DeFi perjanjian umumnya menggunakan "tingkat rendah" model untuk bersaing untuk TVL (volume kunci total). Jumlah sederhana persetujuan pendapatan hanya tidak mendukung tingkat tinggi investasi keamanan diperlukan untuk melawan hacker nasional. Proyek ini mengelola ratusan juta dolar aset dengan sederhana "tabel rumput" -jenis struktur, pada dasarnya model yang tidak berkelanjutan dari "privatisasi hasil, sosialisasi risiko"。

IV. Masa depan manajemen institutionalized: pentingnya kepatuhan

Ketika kontrak cerdas dan desentralisasi pemerintahan tidak melindungi kepala sekolah kita, industri harus menghadapi masalah nyata: Apakah ada kebutuhan untuk sebuah pelukan baru independen, profesional, sentralisasi hosting untuk future- berorientasi dana massal institusi

Dalam konteks Web3, akan terlihat bahwa pengenalan "trusteeship terpusat" secara politis tidak benar. Tapi tragedi Drift Protocol dan Kelp DAO memberitahu kita bahwa sangat berbahaya untuk mencampur logika bisnis (kontrak cerdas) dengan tahanan uang (kendali kunci pribadi)。

Untuk proyektor DeFi, yayasan rantai publikasi dan institusional yang mengelola uang dalam jumlah besar, pengantar penjaga kepatuhan seperti Cactus Penstody bukan hanya kemunduran sejarah, tapi juga kebutuhan infrastruktur keuangan untuk dewasa:

Membongkar satu titik kegagalan dan pemisahan otoritas dan tanggung jawab

Pengembang protokol harus fokus pada inovasi dalam logika bisnis, meninggalkan hak asuh harta karun dan aset inti kepada seorang penjaga kepatuhan independen. Penyedia layanan host umumnya memiliki struktur kontrol angin tingkat dan aliran persetujuan, benar-benar menghilangkan 1 / 1 yang tidak masuk akal "berjalan telanjang" praktek。

Ini adalah upaya untuk mandiri dari logika rantai

HACKER DAPAT MENIPU PADA TITIK RPC, MENGAMBIL KEUNTUNGAN DARI CELAH KODE, TETAPI TIDAK DAPAT MENYEBERANGI INDEPENDEN KONTROL ANGIN MESIN DARI KOMPLIANCE TRUST. KETIKA SISTEM MENDETEKSI PERINTAH TRANSFER ABNORMAL YANG MELIBATKAN $292 JUTA, STRATEGI ANGIN PENJAGA KEPATUHAN ADALAH DENGAN PAKSA MENCEGAT ATAS DASAR TUJUAN TRANSAKSI, UNTUK MEMAKSA KONFIRMASI PELANGGAN, PENINJAUAN KEPATUHAN DAN VERIFIKASI SALURAN MULTI-, DAN UNTUK MENJAGA DANA DI GERBANG TERAKHIR。

Isolasi insolvency dan perlindungan fidusia

Sebagai wali yang sah, Cactus Custody tunduk pada regulasi ketat, dengan aset pelanggan secara fisik dan secara hukum terisolasi dari orang-orang dari perusahaan yang beroperasi (bangkrut). Jenis perlindungan fidusia di tingkat keuangan adalah dasar kepercayaan yang tidak dapat diberikan oleh kode decentrisasi。

Menggabungkan komentar

Kelp DAO 's $292 juta tidak hanya membeli pelajaran menyakitkan, tetapi juga istirahat kemakmuran palsu trek reinkarnasi. DeFi harus menjauh dari model "workshop" manajemen keuangan ketika badan besar uang masuk。

Keamanan dan kontrol angin perlu didukung oleh uang asli dan perak dan sistem profesional. Di masa depan, DeFi perjanjian yang tidak memiliki akses ke penjaga kepatuhan dan yang tidak memberikan perlindungan aset institusi akan ditinggalkan oleh ibukota arus utama. Pilihan dari sebuah program tuan rumah tidak hanya tanggung jawab untuk aset tetapi juga landasan untuk jangka panjang kelangsungan hidup perjanjian di hutan gelap。