46分, 盗まれた $292 百万, DeFi 再発見開発

著者:ChainCatcher

 

初期の4月18日、わずか2週間後にドリフトの$ 200ミリオンのKellp DAOは、カーネルの旗の下に、今年も暗号化業界の盗難の記録を更新しました。 116,000 rsETHsは、約$ 292百万を増加させました。

Kelp DAOは、EigenLayerに基づく3つの約束の合意であることを知られています。 rsETH は、Kelp DAO が発行する液状清算トークン (LRT) であり、再計算プラットフォーム(EigenLayer など)で入金された非液体資産の流動性を提供することを目的としています。

契約のコアチームはインドから。 2024年9月、レーザーデジタル、銀行ベンチャーズ、ハイパースフィア・ベンチャーズなど、数多くの著名な投資家の参加により、約9億ドルの資金調達を行いました。 契約の合計値は、現在$ 1.5億を超えています。 同じ年、その親会社であるカーネルは、通貨と密接な関係を持っていたYzi Labsからの投資も受け取りました。

しかし、これらは、この悲劇的な事故で突然変容した背景と成果を誇りに思っていました。

 

致命的な交差鎖のforgeryおよび「単一」のコスト

チェーンレコードの初期の解体によると、攻撃は従来の再攻撃やフラッシュローンではなく、クロスチェーン情報の偽造に基づいて精度を上げました。

これに対する根本的な理由は、チェーン間の rsETH ブリッジアダプタが、下部のクロスチェーンプロトコルから情報の厳格な「ソース検証」を実行できなかったことです。 ハッカーは、Kellpのブリッジ契約を削減し、起源のチェーンでロックされている相互資産を誤認し、ハッカーの命令の実行で達成し、Ethermanのネットワークで$ 292百万ドルのrsETHをリリースしました。

攻撃から46分後、ケルプDAOチームが緊急サスペンション機構を立ち上げました。 動作は、その後の2つの撤退の試みを傍受することに成功しましたが 40,000 rsETH (およそ$ 100ミリオン), ほぼ 20 rsETHの循環のセント (116,000) ハッカーポケットに落ちました。

続いて、ハッカーはこれらのrsETHをAave V3に入金し、大量のモバイルウェルスを借りるための担保として入金しました。 明らかに、ハッカーは資産を返さないし、その担保、 rsETH は、偽のビルドアップだったため、実際の資産を持っていません。Aave は、約 $177 百万の悪い借金で残します。

このプロセスでは、Layerzerro のブリッジ契約で最大の問題が発生します。 Kelp DAO が使用した LayerZero のクロスチェーン契約は 1/1 DVD 構成で、いわゆる "single" 構成で、クロスチェーン メッセージを介して 1 つの認証者で確認できるため、LayerZero の公式文書は 2/2 を推奨するようにデフォルトで指定されている。

インシデント後、レイヤーゼロトークンZROは1セント40以上で落ち、エイブトークンエイブは1セント22でピークに達し、ケルプDAO関連のパーティカーネルトークンは13セント以上になりました。 また、Solvなどの複数のプロジェクトでは、レイヤーゼロ OFT ブリッジを停止することを発表しました。

 

DeFiのレゴ構造の系統的崩壊

この事件の前に、Aave はセキュリティインシデントを一切持っていませんでした。これは、独自の契約コードによるものではなく、そのような LRT トークンのリスク評価や検疫設定にはまだリンクされていました。 今年の1月には、スパークプロトコルは、現在の波の影響を受けない合意を残し、rETHなどの低生命資産を遮断し、担保および機能性を強化し続けました。

現時点では、Aave のチェーンロックアップ値が $26,390 万ドルから $21,766 百万ドルに落ちています。 同時に、多くの貸し手ユーザーは、他の貸借契約、ETHの貸借契約、およびスパークのETHプールの敷金率は、1.7パーセントから5パーセントまで急速に増加しました。

事件に反して、Curveの創始者、マイケル・エゴロフは、現在広く使用されている「非分離リース借入金」モデルによって、事件が提起されたリスクであると述べた。 このモデルは、より広い範囲を持っていますが、リスクが高く、リスク管理が重要である。 1つのアプローチは、曲線ファイナンスのケースであり、他のハイブリッドモデル(複雑だが可視)であるように、完全な分離モデルです。 現時点では、これらのプログラムの利点は十分に理解していません。 Aave v4のハブおよびスポーク(遠心分離機)モデルは、半分離およびより安全へのステップであるかもしれません。

現在、ほとんどの主流融資契約は、共有流動性プールモデルを採用しており、Aave、Compund、Sparkなど、ほぼすべての融資資産が流動性とリスクを共有しています。 Morpho、Kamino、Eulerなどの融資契約は、分離プールモデルを採用しています。 これは、資金の使用における効率とセキュリティのトレードオフです。

そして、今年3月末にオンラインで来られたAaveのV4バージョンでは、ハブとスポークの概念がそれぞれ導入され、ハブ(センター/流動性ハブ)は、すべての資産とグローバルな会計を保持する中央流動性ハブです。 Spoke (radiation) は、特定の借用ルールとリスク管理を担当するユーザー・ダイレクト・インタラクティブ・モジュラー・ポータルです。

各スポークは、特定のレンディング機能(供給、借入金、返済、出金)を提供し、別のリスクパラメータ:異なる種類の担保、清算ルール、金利モデル、Eモード、協会モード、RWAサポートなど。

つまり、エイブは、異なる種類のリスクと性質の資産を借りる完全に分離されたプールを確立するかどうか、ケースバイケースベースで、単一の資産によって構成される全体的なリスクを制御することができることを意味します。

また、よく知られたDeFiプレーヤー、Benmoは、事件に対応する5つのポイントを調達しました

まず、LRTなどのパッケージ資産のセキュリティは、元の資産と比較しては不可能であり、貸与プラットフォームは担保と同等に2つを刺繍しません

次に、L0はフォローアップのクロスチェーン市場の一部を失い、 usde、usd0などの複数の資産は既にL0クロスチェーンを停止しており、おそらくビジネスの回復は信頼性を回復することが困難になります。

第三に、AAVEゴールドの崩壊と、大規模な融資市場のセキュリティの再参入は、鯨検査フェーズに、各追加のモーゲージアセットは、元のモーゲージ資産のリスク、元の資産に対する自然な不当性、およびV4への傾向、および融資製品のモジュール化を等しく増加する。 プラットフォームやキュレーターを貸す代わりに、業務を借用することは選択されますが、そのような業務の費用は増加しています。

第四に、L2のTVL取得コストがさらに増加し、今、TVLレベルはさらにL1に戻ります.

結局、Defiはルートを拡張し、保守的なセキュリティモデルに戻り、Anthropic Mythosのスキャンを防止します。

Drift から Kelp DAO まで、短時間で2つの主要なセキュリティインシデントは、DeFi の「結束」財務構造で、あらゆる点で体系的な崩壊を引き起こし、突然、業界全体の流動性絞りに進化する。 過去に、このビューは理論を中心に存在し、セキュリティインシデントの影響の大部分は、悲劇的な方法で起こっている個々の合意に残っています。

これは、クロスチェーン契約と貸借契約の試用だけでなく、ユーザーの自信に大きな打撃です。

「これ以上のデファイ、元のETHだけ、素晴らしさや預金、興味はありません。 「KOLラオルーを祝う」。

「Defiを最初に取り出す」 危険です。 今回は、Drift/Cowswap's...と有名なDeFi投資家のDovey Wangが同じビューを共有しているよりも、骨が大きくなっています。