Chainalysis juhib tähelepanu DeFi turvalisuse kriitilisele nõrkusele, kuna 292 miljoni dollari suurune rünnak möödus põletamise kontrollist

Peamised järeldused:

• Chainalysis tõi esile KelpDAO-i turvaaugu, mis paljastab kriitilise vea ahelatevahelistes usalduse eeldustes.
• Analüüs näitas, et Layerzero disainivead võivad võimaldada ühel validaatoril mööda hiilida DeFi kaitsemeetmetest.
• Protokollid seisavad silmitsi kasvavate riskidega, kuna Chainalysis viitab, et varjatud vead võivad jääda avastamata.

Ahelatevaheliste sildade puudused paljastavad DeFi turvariske

Blockchaini analüüsifirma Chainalysis tõi 20. aprillil esile 292 miljoni dollari suuruse detsentraliseeritud rahanduse (DeFi) turvaaugu, paljastades kriitilised nõrkused ketiülese silla disainis. KelpDAO rsETH infrastruktuuriga seotud intsident näitas, kuidas manipuleeritud sisendid võivad mööda hiilida valideerimissüsteemidest. Juhtum viitab kasvavale murele mitmeketi protokollidesse sisse ehitatud usalduse eelduste ümber.

Chainalysis märkis sotsiaalmeedia platvormil X:

„Umbes 292 miljoni dollari suurune KelpDAO / rsETH-silla ärakasutamine toob esile kriitilise pimekoht DeFi turvalisuses.”

Ettevõte selgitas, et rikkumine tulenes pigem puudulikust usalduskihist kui defektsetest nutilepingutest. Ründajad sihtisid KelpDAO-d toetavat LayerZero infrastruktuuri, kasutades ära 1-of-1 validaatorite kvoorumit. See konfiguratsioon tugines piiratud kaugprotseduurikõnede lõpppunktidele, luues üheainsa rikkeallika. Kui see tee oli ohustatud, võimaldas see volitamata heakskiitmisi ilma laiemata konsensuseta. Analüütik kirjeldas, kuidas süsteem aktsepteeris manipuleeritud tingimusi kehtivatena, võimaldades rünnakul jätkuda tavapäraste kaitsemeetmete poolt avastamata.

Muutumatud rikked rõhutavad reaalajas jälgimise vajadust

Ründaja tungis validaatori andmesisenditesse, ohustades RPC-lõpppunkte. Vale teave põhjustas süsteemis väljamõeldud põletamisjuhtumi registreerimise allikasketis.
„Selle vale seisundi põhjal kiitis sild sõnumi heaks ja vabastas ründajale Ethereumis 116 500 rsETH-d. Tegelikult ei toimunud vastavat põletamist kunagi. Standardne turvalisus ei märganud seda üldse, kuna tehingud täideti täpselt nii, nagu need olid kooditasandil kavandatud,” selgitas Chainalysis. See järjekord rikkus silla põhilist invarianti, mis nõuab põletatud varade ja väljastatud tokenite vahelist pariteeti. Vaatamata koodi korrektsele täitmisele võimaldas sõltuvus väliste andmete terviklikkusest rünnaku õnnestumist.
Chainalysis lõpetas laiemaga hoiatusega, märkides:

„See rünnak tõestab, et pahatahtliku koodi avastamisest ei piisa; protokollid peavad tuvastama, kui süsteem satub võimatusse olukorda.”

Ettevõte osutas vajadusele pidevate seiresüsteemide järele, mis suudavad reaalajas kontrollida ahelatevahelist järjepidevust. Sellised tööriistad nagu invariantide jälgimise raamistikud suudavad tuvastada lahknevusi lukustatud varade ja vabastatud vahendite vahel. Need mehhanismid võivad võimaldada protokollidel peatada operatsioonid enne kahjude suurenemist, rõhutades süsteemiülese seisundi kontrollimise tähtsust, selle asemel et tugineda ainult koodi auditeerimisele.