Certik analitičar: KelpDAO exploit otkriva visokorizičan pomak u međulančanom kibernetičkom kriminalu

Ključni zaključci:

• Sigurnosno vijeće Arbitrum-a i SEAL 911 zamrznuli su 30.766 ETH 18. travnja kako bi ublažili pljačku Kelp DAO-a.
• Certikov analitičar Wenzhao Dong upozorava da krađe putem mostova sada stvaraju sustavni loš dug za platforme poput Aavea.
• Kelp DAO ima cilj vratiti rsETH vezanost (peg) i povratiti preostalih 220 milijuna dolara nestale digitalne imovine.

Sigurnost nasuprot suverenosti

Brza intervencija Sigurnosnog vijeća Arbitrum-a (ASC) da zamrzne 30.766 ETH ponovno je rasplamsala jednu od najtemeljnijih rasprava u blockchainu: napetost između nepromjenjive decentralizacije i pragmatičnog upravljanja.

Iako je povrat 71 milijun dolara u ETH-u jasna pobjeda za žrtve, metoda je podijelila zajednicu u dva različita tabora. S jedne strane, puristi tvrde da je sposobnost ASC-a da jednostrano zamrzne imovinu „sklizak teren” prema centraliziranim financijskim sustavima koje je kriptovaluta osmišljena zamijeniti. Smatraju da, ako vijeće danas može cenzurirati hakera, sutra bi moglo biti prisiljeno cenzurirati političkog disidenta ili legalni posao. Za ovu skupinu, intervencija „čovjeka u petlji” predstavlja sustavnu ranjivost koja potkopava temeljno obećanje sustava bez potrebe za povjerenjem.

S druge strane, pragmatičari apsolutnu decentralizaciju vide kao aspiracijsko konačno stanje, a ne kao zahtjev od prvog dana. Tvrde da, kako bi decentralizirane financije (DeFi) postigle masovno usvajanje, moraju imati „sigurnosne prekidače” za ublažavanje katastrofalnih gubitaka. Iz ove perspektive, ASC je nužna zaštita — „digitalna vatrogasna služba” — koja osigurava odgovornost potrebnu za zaštitu korisnika od sofisticiranih aktera koje sponzorira država, poput grupe Lazarus.

Kako su izvijestili Bitcoin.com News i drugi mediji, ASC je djelovao na temelju informacija tijela za provedbu zakona o identitetu napadača. Vijeće je navelo da je vagalo svoju predanost sigurnosti i integritetu Arbitrum zajednice, pritom osiguravajući da nema utjecaja na Arbitrum korisnike ili aplikacije.

Iako zamrzavanje pruža privremeno olakšanje, jedan je stručnjak upozorio da pljačka predstavlja novu, opasniju fazu DeFi kriminala u kojoj se ranjivosti mostova sustavno koriste za „zarazu” tržišta posudbe.

Pružajući post-mortem strategije napadača, Wenzhao Dong, blockchain analitičar u Certiku, istaknuo je da je sjevernokorejski Lazarus Group pokazao sofisticirano razumijevanje tržišne likvidnosti. Dong je napomenuo da su, za razliku od nedavnog incidenta Hyperbridgea — gdje su napadači iskovali 1 milijardu Polkadota, ali su uspjeli konvertirati tek oko 240.000 dolara prije nego što se cijena srušila — napadači na Kelp DAO odabrali učinkovitiji put „unovčavanja”.

„Eksploatacija Kelp DAO-a pokazuje jasan obrazac rizika u modernom DeFi-ju”, rekao je Dong. „Ranjivost mosta ne ostaje izolirana; pretvara se u problem za tržišta posudbe. Korištenjem lažno iskovanog rsETH-a kao kolaterala na Aaveu za posudbu WETH-a, napadač je krađu putem mosta pretvorio u loš dug Aavea.”

Dong je napomenuo da su napadači namjerno izbjegavali spot tržišta, gdje bi masivne prodajne naredbe izazvale proklizavanje (slippage) i ranu detekciju. Umjesto toga, koristeći Aave kao posrednika, prebacili su rizik na protokol za posudbu.

„DeFi sigurnost je međusobno povezana”, dodao je Dong. „Protokoli se ne mogu fokusirati samo na vlastite ugovore; moraju razmotriti rizike koje predstavlja svaka ovisnost u njihovom sustavu i sukladno tome implementirati obrambene mjere.”

U ažuriranju podijeljenom nekoliko sati nakon što je ASC najavio zamrzavanje, Kelp DAO je izrazio zahvalnost za „odlučnu akciju” vijeća. Kao ključni čimbenik koji je omogućio dionicima djelovanje prije nego što su hakeri mogli premjestiti preostalih 71 milijun dolara u ETH-u izvan Arbitrum mreže, naveo je SEAL 911-ovu „koordinaciju i strukturiranje informacija”.

Unatoč uspješnom zamrzavanju, približno 220 milijuna dolara i dalje nedostaje. Kelp DAO je potvrdio da mu je primarni fokus sada suradnja s Aaveom i drugim partnerima kako bi se riješio „loš dug” nastao eksploatacijom. Organizacija je također izjavila da će iskoristiti sve dostupne mogućnosti kako bi podržala vlasnike rsETH-a i obnovila vezanost (peg) protokola.