Depth Retrospect Kelp DAO serial robbery : DeFi의 위험은 진행 상황과 매우 비슷하며 암호화 파이프라인의 고장은 어디에 있습니까

다크 포레스트의 댐크의 DeFi의 칼은 초기 달에 $ 285 백만 해킹을 따라 몇 주에 다시 떨어졌다。

최근 며칠 동안, Kelp DAO는 자산의 포로 해킹에 주어졌다 $292 백만. 폭풍 하수구 Kelp DAO의 treasury뿐만 아니라 DeFi의 포트폴리오는 직접 나쁜 행운에서 $ 200 백만 이상을 수행 한, Aave에 신속하게 전송되었습니다。

연기가 퍼지면, 영사기는 서로의 문에 떨어졌다. 장기적인 심층적 인 기관 수준의 디지털 자산 준수 팀으로서Cactus 커스터디"RPC 독"의 기술 안개가 전체 산업에서 극단적으로 심각한 영혼을 파괴 한 것으로 간주됩니다 :DeFi의 현재 매우 낮은 반환과 매우 높은 위험은 심각한 잘못? 기관 관리의 미래 지향적인 파에서 완전한 "de-centreization"은 보안 루프홀에 대한 표지가 있습니까

I. robbery의 회복 : 바닥 중독, 단일 서명 벌거 벗은 및 해킹

공식 정보 및 보안 전문가의 조합은 반복되었으며 공격은 잘 계획 된 "downside 타격"이었습니다。

1. 공격 방법: RPC 노드 (RPC Poisoning)

공식 LayerZero 문 및 분석에 따르면 느린 안개 코신과 같은 전문가, 공격의 항목 포인트는 스마트 계약 자체에 코드 간격이 아니었지만, 하단 RPC 노드는 해커에 의해 납치 또는 오염되었다. 이 주도 층 Zero는 크로스 체인 전송 중에 수신 및 프로세스 강제적인 데이터를 수신합니다。

2. Deadly 방어적인 까만 구멍: 1/1 단일 서명 기계장치

그러나, 단지 건의 오염은 즉시 $ 300 백만에 가까운 롤에 충분하지 않습니다. KOL 리처드 하트에 의해 암호화 된, 혈액 포인트 아웃:1/1(단일)의 허가가 있습니다。이것은 억만 달러의 유동성을 제어하는 볼트 게이트가 평범한 자물쇠로 잠겨 있다는 것을 의미합니다. 잠금 및 더블 체크 및 균형 없이, 하단 데이터가 연속될 때, 해커는 "무선 패스"와 단일 지점 돌파구는 대시 자금의 주요 전송을 완료。

3. 돈 추적 : Lazarus Group의 돈 세탁 네트워크

잘 알려진 데이터 기관 Chainalysis 및 Wu에 의해 체인의 추적 분석은 공격자의 신원을 확인합니다 :한국 국가 수준의 해커 조직 Lazarus Group이 있다고 주장합니다。Chainalysis 쇼의 데이터는 도난 자금이 매우 짧은 시간에 매우 높은 수준에서 체계화되고 Trans-chain Bridge 및 믹서와 같은 전형적인 한국 해커 돈 세탁 루트를 통해 ITA 호스트 네트워크로 신속하게 전송되었습니다. 이 국가 수준의 APT 조직의 항목은 이미 종이의 조각으로 방어의 DeFi 라인을 만듭니다。

II. 앉아있는 효과와 로마 게이트 : DeFi Lego의 체계적인 취약점

사고 후, "who 책임"에 대한 farce가 시작되었습니다。

• Kelp DAO 및 LayerZero tore 서로:Kelp DAO는 횡단 체인 인프라에서 침해 때문에 재난을 초래하면서 LayerZero에서 교차 체인 합의가 소리가 잘못되어 RPC 노드 데이터의 프로젝트 'S 블라인드 신뢰에 배치되었습니다。

• 미국:가장 극적이고 사려깊은 것은 Aave의 상황입니다. Kelp DAO 자산 (예를들면 rsETH)는 Aave, Kelp DAO의 theft로 널리 이용됩니다 즉시 0의 양자 가치에서 유래했습니다. 많은 산업 관찰자가 말했다, "그것은 이상한, Aave" Aave의 방어의 선은 “discovered” eco-partners에 의해 외부에서 이고, aave는 손상을 위해 위로 만들기 위하여 우산 보호 기금을 이용하더라도, 이것은 DeFi Lego의 “continue” 위기를 드러냈습니다。

이것은 또한 Chainlink 커뮤니티의 경고를 확인합니다, Zach Rynes, Restaking은 Etherwood에 너무 많은 레버리지를 추가하고, 체계적인 손상은 바닥이 붕괴되면 immeasurable 일 것입니다。

III. 영혼 고문 : DeFi의 이득과 위험이 심각하게 잘못되었습니까

이 파에서, OneKey의 Yishi는 중요한 지점을 전달했습니다시장은 곧 위험을 재 계산합니다。

긴 시간 동안, diaspora 및 기관은 단 하나 손가락 APYs (반환 비율) 또는 DeFi에서 "Points"의 비 유창한 포인트를 쫓고 있으며, 0 위험에서 주당 100 %가 있습니다. 이 위험과 반환의 심각한 잡화는 가축 시장의 zeal에서 마스크, 하지만 해커의 machete에 노출。

더 깊은 이유는 DeFi 계약은 일반적으로 TVL (총 잠금 볼륨)에 경쟁하기 위해 "저율"모델을 사용합니다. 계약 수익의 가장 큰 금액은 단순히 국가 해커를 저항하기 위해 필요한 보안 투자의 높은 수준을 지원하지 않습니다. 프로젝트는 매우 간단한 "grass table"-type 구조를 가진 자산의 수백 백만 달러의 자산을 관리하고, 근본적으로 "진행의 개인화, 위험의 사회적화"의 탁월한 모델。

IV. 기관 관리의 미래 : 준수의 불완전

스마트 컨트랙트 및 탈중앙화 지위를 보호하지 않을 때, 업계는 실제 문제를 직면해야:미래 지향적인 기관화 된 질량 펀드에 대한 독립적 인 전문, 중앙화 된 준수 호스팅의 갱신 된 embrace가 필요합니까

Web3의 맥락에서, 그것은 "중앙화 된 신탁"의 도입이 정치적으로 부정확하다는 것을 나타납니다. 그러나 Drift Protocol과 Kelp DAO의 tragedy는 돈 custody (개인 키 제어)와 사업 논리 (스마트 계약)을 섞는 매우 위험하다는 것을 알려줍니다。

DeFi Projects, 공공 체인 기반 및 대규모 돈을 관리하는 기관 투자자, 소개Qualified Custody는 역사적인 설정이 아니지만 금융 인프라의 필요성도 성숙합니다

• 단일 지점 실패를 끊는 당국 및 책임의 관련:
  프로토콜 개발자는 비즈니스 로직의 혁신에 초점을 맞추고, treasury 및 핵심 자산의 custody를 독립적 인 준수 custodian로 떠나야합니다. 준수 신뢰는 잘 개발 된 기업 수준의 풍력 제어 구조 및 승인 스트림이 완전히이 absurd "naked run" 행위의 1/1을 제거。

• 체인 논리의 독립적으로 제어하는 시도입니다 :
  해커는 RPC 노드에 속할 수 있지만, 코드 루프홀의 장점을 가지고 있지만, 규정 준수 신뢰의 독립적 인 풍력 제어 엔진을 교차 할 수 없습니다. 시스템은 $ 292 백만을 포함하는 비정상적인 전송 순서를 감지 할 때, 규정 준수 CUSTODIAN ' S 바람 전략은 거래의 의도를 대신하여 고객 확인, 규정 준수 검토 및 멀티 채널 검증을 강제하고 마지막 게이트에서 자금을 유지하는 것입니다。

• 녹슬지 않는 고립 및 fiduciary 보호:
  Cactus Custody는 회사가 운영하는 기업의 그들로부터 물리적으로 법적으로 격리된 고객의 자산과 엄격한 규정을 준수합니다. 금융 수준에서 금융 보호의이 유형은 분산 된 코드가 제공 할 수있는 신뢰 기반입니다。

관련 상품

Kelp DAO의 $ 292 만은 고통스러운 교훈을 살뿐만 아니라 재화 트랙의 거짓 번영을 깰. DeFi는 기관의 큰 돈이 들어올 때 금융 관리의 "작업"모델에서 멀리 이동해야합니다。

보안 및 풍력 제어는 실제 돈과 실버 및 전문 시스템에 의해 지원되어야합니다. 향후, DeFi 계약은 custodians를 준수하고 기관 자산 보호를 제공하지 않는 것이 주류 자본에 의해 포기되지 않습니다. 준수 호스팅 프로그램의 선택은 자산에 대한 책임뿐만 아니라 어두운 숲의 계약의 장기 생존을위한 코너스톤입니다。