Perampokan berantai Defi's sangat tidak cocok dengan hasil, dan di mana rusaknya pipa enkripsi
Pedang DeFi dari Damocles of the Dark Forest jatuh lagi dalam beberapa minggu setelah hacking $ 285 juta pada bulan-bulan awal。
Beberapa hari belakangan ini, Kelp DAO mengalami bencana peretasan aset sebesar $292 juta. Bukan hanya itu saja badai menguras perbendaharaan Kelp DAO, tapi portofolio DeFi dengan cepat dikirim ke raksasa pinjaman, Aave, yang langsung membawa lebih dari $ 200 juta dalam nasib buruk。
Ketika asap menyebar, proyektor jatuh ke pintu satu sama lain. Nakhodan sebagai sebuah agen yang telah lama diterjunkan dalam-dalam-terlampir agen-level aset digital patuhKecamatan CactusMENURUT PENDAPAT, KABUT TEKNOLOGI \"RACUN RPC\" TELAH MELEMPARKAN SIKSAAN JIWA YANG SANGAT SERIUS DI SELURUH INDUSTRI:Apakah sekarang sangat rendah kembali DeFi dan sangat tinggi risiko serius tidak cocok? Dalam gelombang yang berorientasi pada masa depan dari manajemen institusional, telahkah lengkap \"de-centreization\" menjadi penutup bagi celah keamanan
Pemulihan dari perampokan: keracunan bawah, single-signing telanjang dan hacking
Kombinasi antara para ahli informasi dan keamanan resmi telah diulangi, dan serangan tersebut merupakan \"serangan sampingan\" yang direncanakan dengan baik。
1. Metode serangan: node RPC (RPC Poisoning)
Menurut pernyataan dan analisis LayerZero resmi oleh para ahli seperti kosinus kabut lambat, titik masuk untuk serangan bukanlah celah kode dalam kontrak cerdas itu sendiri, tetapi titik RPC bawah dibajak atau tercemar oleh para peretas. Ini membuat Layer Zero menerima dan memproses data berbahaya yang ditempa selama transmisi rantai silang。
. . 2 . Lubang hitam defensif mematikan: 1/1 mekanisme tandatangan tunggal
Namun, polusi hanya nodal tidak cukup untuk menggulung mendekati $300 juta dalam sekejap. Dienkripsi oleh KOL Richard Heart, darah menunjukkan:Ada 1/1 (tunggal) izin yang ditetapkan di jantung masalah。Ini berarti bahwa gerbang brankas, yang mengontrol ratusan juta dolar likuiditas, hanya terkunci dalam kunci biasa. Tanpa kunci dan cek ganda dan keseimbangan, sewaktu data bawah terkontaminasi, para hacker mendapatkan ” terobosan yang tak terbantahkan” dan terobosan tunggal menyelesaikan transfer besar dana epik。
Uang melacak: jaringan pencucian uang dari Kelompok Lazarus
Analisis pelacakan rantai oleh agen data terkenal Chainalysis dan Wu lebih lanjut mengkonfirmasi identitas penyerang:Hal ini diduga bahwa organisasi hacker tingkat negara Korea Lazarus Group。Data dari Chainalysis menunjukkan bahwa dana curian telah tersistematisasi pada tingkat yang sangat tinggi dalam jangka waktu yang sangat singkat dan telah dipindahkan dengan cepat ke jaringan host ITA melalui rute-rute pencucian uang peretas Korea yang khas seperti Jembatan Trans-chain dan Mixer. Entri organisasi APT tingkat negara bagian ini membuat garis pertahanan DeFi yang sudah rapuh sebagai selembar kertas。
\"Old II\". Efek sit-in dan Gerbang Roma: kerentanan sistemik DeFi Lego
Setelah kecelakaan itu, lelucon tentang \"siapa yang bertanggung jawab\" dimulai。
-
Dan LayerZero saling membunuh:Kellp DAO menunjuk LayerZero sebagai telah menyebabkan bencana karena pelanggaran dalam infrastruktur rantai silangnya, sementara LayerZero bersikeras bahwa perjanjian rantai silang adalah suara dan salah ditempatkan pada proyek ' s buta kepercayaan pada data node RPC。
-
Ave:Ini adalah situasi Aave. Sebagai aset Kelp DAO (misalnya rsETH) banyak digunakan sebagai agunan di Aave, pencurian Kelp DAO segera mengakibatkan nilai agunan menjadi nol. Karena banyak pengamat industri mengatakan, \"Ini tidak aneh, Aave\". Garis pertahanan Aave adalah \"ditemukan\" dari luar oleh rekan-rekan eko, dan meskipun aave akan menggunakan dana perlindungan Umbrella untuk menebus kerusakan, ini telah mengekspos krisis DeFi Lego \"terus\"。
Ini juga menegaskan peringatan dari komunitas Chainlink, Zach Rynes, bahwa Resistance adalah menambahkan terlalu banyak pengaruh pada Etherwood, dan bahwa kerusakan sistemik akan tak terkira jika bawah runtuh。
/ III. Penyiksaan jiwa: Apakah keuntungan dan risiko DeFi telah serius tidak cocok
Dalam gelombang ini, Yishi OneKey telah mengemukakan titik kritis:Pasaran akan segera menghitung kembali risikonya。
Selama waktu yang lama, diaspora dan institusi telah mengejar APYs digital tunggal (annuualized rate of return) atau titik tidak ada "Points" di DeFi, dengan 100 persen kepala sekolah dengan risiko nol. Risiko ini dan ketidakcocokan yang serius dari pengembalian bertopeng dalam semangat pasar ternak, tetapi terkena parang hacker。
Alasan yang lebih mendalam adalah bahwa perjanjian DeFi umumnya menggunakan model \"low rate\" agar dapat bersaing untuk TVL (total lock volume). Jumlah pendapatan kesepakatan sederhana tidak mendukung tingkat tinggi investasi keamanan yang dibutuhkan untuk melawan peretas nasional. Proyek proyek ini mengelola ratusan juta dolar aset dengan struktur yang sangat sederhana \"meja grasss\", pada dasarnya merupakan model yang tidak berkelanjutan dari \"privatisasi hasil, sosialisasi risiko\"。
\"OV IV\". Masa depan manajemen institusional: penting untuk mematuhi
Ketika kontrak cerdas dan pemerintahan terdesentralisasi tidak melindungi kepala sekolah kita, industri harus menghadapi masalah yang nyata:Apakah ada kebutuhan untuk merangkul kembali independen, profesional, profesional, sentralisasi kepatuhan hosting untuk berorientasi masa depan dilembagakan pendanaan massa
Dalam konteks Web3, tampaknya pengenalan \"kepercayaan terpusat\" tidak benar secara politis. Namun tragedi Drift Protocol dan Kelp DAO memberitahu kita bahwa sangat berbahaya untuk mencampur logika bisnis (kontrak pintar) dengan hak asuh uang (private key control)。
Untuk proyektor DeFi, yayasan rantai publik dan investor institusional yang mengelola sejumlah besar uang, pengenalanKependudukan yang memenuhi syarat bukanlah kemunduran sejarah, tetapi kebutuhan akan infrastruktur keuangan untuk matang:
-
Kelainan wewenang dan tanggung jawab dengan melanggar kegagalan poin tunggal:
Pengembang protokologi harus fokus pada inovasi dalam logika bisnis, meninggalkan hak asuh perbendaharaan dan aset inti kepada kustodian kepatuhan independen. Kepatuhan kepercayaan memiliki struktur kontrol angin tingkat perusahaan yang berkembang dengan baik dan aliran persetujuan yang benar-benar menghilangkan 1/1 dari tindakan \"lari telanjang\" yang tidak masuk akal ini。 -
Ini adalah upaya untuk mengendalikannya secara independen logika rantai:
HACKERS DAPAT MENIPU PADA NODE RPC, MENGAMBIL KEUNTUNGAN DARI CELAH KODE, TETAPI TIDAK DAPAT MENYEBERANGI MESIN KONTROL ANGIN INDEPENDEN DARI COMPLIANCE TRUST. KETIKA SISTEM MENDETEKSI PERINTAH TRANSFER ABNORMAL YANG MELIBATKAN $292 JUTA, STRATEGI CUSTODIAN 'S ANGIN ADALAH UNTUK SECARA PAKSA MEMINTAS ATAS DASAR MAKSUD TRANSAKSI, UNTUK MEMAKSA KONFIRMASI PELANGGAN, PENINJAUAN KEPATUHAN DAN VERIFIKASI MULTI-SALURAN, DAN UNTUK MENJAGA DANA DI GERBANG TERAKHIR。 -
Kepencilan isolasi dan perlindungan fidusia:
Sebagai pemegang kepercayaan yang berlisensi, Kecamatan Kaktus tunduk pada peraturan ketat, dengan aset pelanggan ' s secara fisik dan hukum terisolasi dari yang beroperasi perusahaan (insolvency). Perlindungan fidusia semacam ini di tingkat keuangan adalah dasar kepercayaan yang tidak dapat diberikan oleh kode yang layak。
Kata-kata palsu
Kellp DAO's $ 292 juta tidak hanya membeli pelajaran yang menyakitkan, tetapi juga mematahkan kemakmuran palsu jalur reinkarnasi. Dia harus menjauh dari model \"workshop\" manajemen keuangan ketika uang besar agensi datang。
Keamanan dan pengontrol angin harus didukung oleh uang dan perak dan sistem profesional. Kedepannya, perjanjian-perjanjian DeFi yang tidak memiliki akses untuk mematuhi kustodian dan yang tidak memberikan perlindungan aset institusional akan ditinggalkan oleh modal arus utama. Pilihan dari program hosting compliance tidak hanya tanggung jawab untuk aset tetapi juga batu penjuru untuk jangka panjang kelangsungan perjanjian di hutan gelap。
