Miks on ristahela sildid DeFi nõrgem link pärast $293 miljoni Kelp DAO rünnakut

Kriptosildid on jälle tähelepanu keskmes — kuid mitte õigete põhjuste tõttu.

Laupäeval toimunud Kelp DAO rünnak, mille käigus varastati 293 miljonit dollarit, on sunnitud TRM Labsi globaalset poliitika- ja valitsusasjade juhti Ari Redbordi käsitlema sildade turvalisust kriptotööstuse tähelepanu keskmes.

„Kui 300 miljoni dollari suuruse väljaandja turvalisuse mudel taandub ühe valideerija allkirjastamisvõtmeleni, siis rünnakuulatav ala ei ole enam tehniline, vaid struktuurne,“ kirjutas ta pühapäeval.

Selle analüüsi järel kasutas rünnaku teostaja LayerZero ristkihiline sõnumisüsteem, et tühistada 116 500 rsETH – umbes 18% selle tokeni ringlusse antud kogusest. Lihtsas keeles saatis rünnaku teostaja vale sõnumi, mis väitis, et Kelpi sild oli saanud rahalisi vahendeid teiselt blokkahelalt. Sild uskus sõnumit ja andis tokenid vabadusele.

Kelp DAO on likviidselt ülepanustatav protokoll, mis on ehitatud Ethereumil ja võimaldab kasutajatel teenida nii tavapäraseid panustuspreemiaid kui ka täiendavaid ülepanustusrendi kasu EigenLayeri kaudu.

Kui kasutajad sisestavad sobivad tokenid, saavad nad rsETH-i, mis on kaubeldav vara ja mida saab kasutada DeFi-platvormidel, samas kui aluseks olevad vahendid jätkavad mitme võrgu turvalisuse tagamist. Tegelikult võimaldab see struktuur investoritel hoida oma kapitali tootlikuna ilma selle lukustamata, säilitades likviidsuse ning genereerides kihtuva tulude.

See rünnak lisas Drifti 286 miljoni dollari kaotusele, mille see said 1. aprillil, ning tõi sel kuul DeFi kaotused üle 550 miljoni dollari.

Kuidas sildid töötavad?

Ristkihiline sild on tarkvara, mis ühendab erinevaid blokkahelaid, näiteks Ethereumi ja Arbitrumi.

Kui kasutajad liigutavad tokenid erinevate ahelate vahel, siis sild lukustab algsete tokenite ja loob vastavad tokenid uuel ahelal. See protsess sõltub valideerijatest – usaldusväärsetest arvutitest, mis kinnitavad, kas blokkahela tehing on autentne.

Sild peteti uskuma, et teiselt blokkahelalt saabunud vale sõnum on tõeline, mistõttu andis see välja tokenid, mida see ei pidanud kunagi vabadusele andma. Kuna ainult ühte valideerijat oli seatud neid sõnumeid kinnitama, võimaldas üksik punkt, kus süsteem nurjus, rünnaku teostajal lukustada sadu miljoneid dollareid.

Kelpi seadistus tugines aruannete kohaselt 1/1 deentraliseeritud valideerijavõrgule (DVN). See tähendab, et üksainus valideerija oli volitatud kinnitama ristkihilisi sõnumeid. Kui see valideerija kompromitteeriti või peteti, siis uskus terve süsteem valele signaalile.

„Põhjustatud kahju“ ulatus kaugemale kui Kelp. Redbordi sõnul peatasid Aave, SparkLend, Fluid ja Upshift rsETH-ga seotud turud.

Aave üksi registreeris rohkem kui 5,4 miljardit dollarit etheri väljavõtteid, kuna kasutajad liikusid riski piiramise suunas, lisas ta.

Kaks täiendavat katset veel 100 miljonit dollarit ära võtta, takistati pärast seda, kui Kelpi hädaolukorras kasutatav mitmekordne allkirjastamise rahakott lõpetas lepingute täitmise 46 minutiga.

„Vastus on tugevdada kaitset: mitmekesised valideerijate komplektid sõnumikihtidel, reaalajas jälgimine müntimise ja põletamise voogudes, kiiresti reageerivad pausimise mitmekordse allkirjastamisega rahakotid ning ristprotokollide tegevuskavad, mis eeldavad levikut,“ kirjutas Redbord.

„Aprill on olnud raske kuu DeFi arendajatele.“

Lance Datskoluo on DL Newsi Euroopas asuvat turu korrespondenti. Kas teil on teave? Kirjutage talle aadressil [email protected]