Analytik společnosti Certik: Zranitelnost v KelpDAO odhaluje zásadní posun v oblasti mezireťazcové kyberkriminality

Hlavní body:

• Arbitrum Security Council a SEAL 911 zmrazily 18. dubna 30 766 ETH, aby zmírnily dopady loupeže Kelp DAO.
• Analytik společnosti Certik Wenzhao Dong varuje, že krádeže přes mosty nyní vytvářejí systémové nedobytné pohledávky pro platformy jako Aave.
• Kelp DAO si klade za cíl obnovit vazbu na rsETH a získat zpět zbývajících 220 milionů dolarů v chybějících digitálních aktivech.

Bezpečnost vs. suverenita

Rychlý zásah Arbitrum Security Council (ASC) směřující k zmrazení 30 766 ETH znovu roznítil jednu z nejzákladnějších debat v oblasti blockchainu: napětí mezi neměnnou decentralizací a pragmatickým řízením.

Zatímco navrácení 71 milionů dolarů v ETH je jasným vítězstvím pro oběti, tato metoda rozdělila komunitu na dva odlišné tábory. Na jedné straně puristé argumentují, že schopnost ASC jednostranně zmrazit aktiva je „kluzkým svah“ směrem k centralizovaným finančním systémům, které měla kryptoměna nahradit. Tvrdí, že pokud může rada dnes cenzurovat hackera, mohla by být zítra donucena cenzurovat politického disidenta nebo legální podnik. Pro tuto skupinu je zásah „člověka v kruhu“ systémovou zranitelností, která podkopává základní slib bezdůvěry.

Na druhé straně pragmatičtí zastánci vnímají absolutní decentralizaci spíše jako konečný cíl, než jako požadavek od prvního dne. Tvrdí, že aby se decentralizované finance (DeFi) dostaly do mainstreamu, musí mít „pojistky“ k zmírnění katastrofických ztrát. Z tohoto pohledu je ASC nezbytnou pojistkou – „digitální hasičskou jednotkou“ – poskytující odpovědnost potřebnou k ochraně uživatelů před sofistikovanými aktéry sponzorovanými státem, jako je Lazarus Group.

Jak informoval Bitcoin.com News a další média, ASC jednal na základě informací od orgánů činných v trestním řízení ohledně identity útočníka. Rada uvedla, že zvážila svůj závazek k bezpečnosti a integritě komunity Arbitrum a zároveň zajistila, aby nedošlo k žádnému dopadu na uživatele nebo aplikace Arbitrum.

Zatímco zmrazení poskytuje dočasnou úlevu, jeden expert varoval, že tento útok představuje novou, nebezpečnější fázi DeFi kriminality, kde jsou zranitelnosti mostů systematicky využívány k infikování úvěrových trhů.

Wenzhao Dong, analytik blockchainu ve společnosti Certik, poskytl analýzu strategie útočníka a poukázal na to, že Lazarus Group podporovaná Severní Koreou prokázala sofistikované pochopení tržní likvidity. Dong poznamenal, že na rozdíl od nedávného incidentu s Hyperbridge – kde útočníci vyrazili 1 miliardu Polkadotů, ale před propadem ceny se jim podařilo převést pouze asi 240 000 dolarů – si útočníci na Kelp DAO zvolili efektivnější cestu „vyplacení“.

„Zneužití Kelp DAO ukazuje jasný rizikový vzorec v moderním DeFi,“ řekl Dong. „Zranitelnost mostu nezůstává izolovaná; stává se problémem pro úvěrové trhy. Použitím falešně vyražených rsETH jako kolaterálu na Aave k vypůjčení WETH útočník změnil krádež z mostu na nedobytnou pohledávku Aave.“

Dong poznamenal, že útočníci záměrně vyhýbali spotovým trhům, kde by masivní prodejní příkazy vyvolaly skluz a včasné odhalení. Místo toho, pomocí Aave jako prostředníka, přenesli riziko na úvěrový protokol.

„Bezpečnost DeFi je propojená,“ dodal Dong. „Protokoly se nemohou soustředit pouze na své vlastní smlouvy; musí zohlednit rizika představovaná každou závislostí v jejich systému a podle toho implementovat obranná opatření.“

V aktualizaci zveřejněné několik hodin poté, co ASC oznámilo zmrazení, vyjádřilo Kelp DAO vděčnost za „rozhodné kroky“ podniknuté radou. Jako klíčový faktor, který umožnil zúčastněným stranám jednat dříve, než mohli hackeři přesunout zbývajících 71 milionů dolarů v ETH z sítě Arbitrum, ocenilo „koordinaci a strukturování informací“ ze strany SEAL 911.

I přes úspěšné zmrazení stále chybí přibližně 220 milionů dolarů. Kelp DAO potvrdilo, že se nyní primárně soustředí na spolupráci s Aave a dalšími partnery s cílem vyřešit „nedobytné pohledávky“ vzniklé v důsledku zneužití. Organizace uvedla, že rovněž využije všechny dostupné možnosti k podpoře držitelů rsETH a obnovení pevného kurzu protokolu.