Certik-analytiker: KelpDAO-sårbarhed afslører en afgørende ændring inden for krydskæde-cyberkriminalitet

Hovedpunkter:

• Arbitrum Security Council og SEAL 911 frøs 30.766 ETH den 18. april for at afbøde Kelp DAO-tyveriet.
• Certik-analytikeren Wenzhao Dong advarer om, at brotyverier nu skaber systemiske tab for platforme som Aave.
• Kelp DAO sigter mod at genoprette rsETH-koblingen og inddrive de resterende 220 millioner dollars i manglende digitale aktiver.

Sikkerhed vs. suverænitet

Arbitrum Security Council's (ASC) hurtige indgriben for at fryse 30.766 ETH har genantændt en af de mest grundlæggende debatter inden for blockchain: spændingen mellem uforanderlig decentralisering og pragmatisk styring.

Mens inddrivelsen af 71 millioner dollars i ETH er en klar sejr for ofrene, har metoden splittet samfundet i to forskellige lejre. På den ene side argumenterer puristerne for, at ASC's evne til ensidigt at indefryse aktiver er en "glidebane" mod de centraliserede finansielle systemer, som kryptovalutaen var designet til at erstatte. De hævder, at hvis et råd kan censurere en hacker i dag, kan det blive tvunget til at censurere en politisk dissident eller en lovlig virksomhed i morgen. For denne gruppe er "human-in-the-loop"-indgriben en systemisk sårbarhed, der undergraver det centrale løfte om tillidsløshed.

På den anden side betragter pragmatikere absolut decentralisering som et ønsket slutmål snarere end et krav fra dag ét. De hævder, at for at decentraliseret finansiering (DeFi) kan opnå bred accept, skal den have "afbrydere" til at afbøde katastrofale tab. Set fra dette perspektiv er ASC en nødvendig sikkerhedsforanstaltning – et "digitalt brandvæsen" – der sikrer den ansvarlighed, der kræves for at beskytte brugere mod sofistikerede statsstøttede aktører som Lazarus Group.

Som rapporteret af Bitcoin.com News og andre medier handlede ASC på baggrund af input fra retshåndhævelsen vedrørende udnytterens identitet. Rådet erklærede, at det afvejede sit engagement i sikkerheden og integriteten af Arbitrum-samfundet, samtidig med at det sikrede, at der ikke var nogen indvirkning på Arbitrum-brugere eller -applikationer.

Selvom indefrysningen giver midlertidig lindring, advarede en ekspert om, at røveriet repræsenterer en ny, farligere fase af DeFi-kriminalitet, hvor sårbarheder i broer systematisk udnyttes til at inficere lånemarkederne.

I en efteranalyse af angriberens strategi påpegede Wenzhao Dong, blockchain-analytiker hos Certik, at den nordkoreanskstøttede Lazarus-gruppen udviste en sofistikeret forståelse af markedets likviditet. Dong bemærkede, at i modsætning til den nylige Hyperbridge-hændelse — hvor angriberne udstedte 1 milliard Polkadot, men kun formåede at konvertere omkring 240.000 dollars, før prisen styrtdykkede — valgte Kelp DAO-angriberne en mere effektiv "udbetalingsrute".

"Kelp DAO-udnyttelsen viser et tydeligt risikomønster i moderne DeFi," sagde Dong. "En sårbarhed i en bro forbliver ikke isoleret; den bliver til et problem for udlånsmarkederne. Ved at bruge falskt udstedt rsETH som sikkerhed på Aave for at låne WETH, forvandlede angriberen et brotyveri til dårlig gæld hos Aave."

Dong bemærkede, at angriberne bevidst undgik spotmarkeder, hvor massive salgsordrer ville have udløst slippage og tidlig opdagelse. I stedet aflastede de risikoen over på udlånsprotokollen ved at bruge Aave som mellemmand.

"DeFi-sikkerhed er indbyrdes forbundet," tilføjede Dong. "Protokoller kan ikke udelukkende fokusere på deres egne kontrakter; de skal tage højde for de risici, som hver eneste afhængighed i deres system udgør, og implementere forsvarsforanstaltninger i overensstemmelse hermed."

I en opdatering, der blev delt få timer efter, at ASC havde annonceret indefrysningen, udtrykte Kelp DAO taknemmelighed for den "beslutsomme handling", som rådet havde iværksat. Organisationen krediterede SEAL 911's "koordinering og informationsstrukturering" som den afgørende faktor, der gjorde det muligt for interessenterne at handle, før hackerne kunne flytte de resterende 71 millioner dollars i ETH væk fra Arbitrum-netværket.

På trods af den vellykkede indefrysning mangler der stadig ca. 220 millioner dollars. Kelp DAO bekræftede, at dets primære fokus nu er at samarbejde med Aave og andre partnere for at håndtere den "dårlige gæld", der er opstået som følge af udnyttelsen. Organisationen erklærede, at den også vil forfølge alle tilgængelige muligheder for at støtte rsETH-indehavere og genoprette protokollens peg.