A Certik elemzője: A KelpDAO elleni támadás a láncok közötti kiberbűnözésben bekövetkezett, nagy horderejű változást tár fel

Főbb tanulságok:

• Az Arbitrum Biztonsági Tanács és a SEAL 911 április 18-án 30 766 ETH-t fagyasztott be a Kelp DAO-t ért támadás következményeinek enyhítése érdekében.
• Wenzhao Dong, a Certik elemzője arra figyelmeztet, hogy a hídlopások most már rendszerszintű rossz adósságokat okoznak az Aave-hez hasonló platformok számára.
• A Kelp DAO célja az rsETH árfolyam-rögzítés helyreállítása és a hiányzó digitális eszközökből fennmaradó 220 millió dollár visszaszerzése.

Biztonság kontra szuverenitás

Az Arbitrum Biztonsági Tanács (ASC) gyors beavatkozása, amelynek keretében 30 766 ETH-t fagyasztottak be, újra felizzította a blokklánc egyik legalapvetőbb vitáját: a megváltoztathatatlan decentralizáció és a pragmatikus irányítás közötti feszültséget.

Bár a 71 millió dollár értékű ETH visszaszerzése egyértelmű győzelem az áldozatok számára, a módszer két táborra osztotta a közösséget. Egyrészt a puristák azzal érvelnek, hogy az ASC egyoldalú eszközbefagyasztási képessége „csúszós lejtő” azon központosított pénzügyi rendszerek felé, amelyeket a kriptovaluta éppen felváltani hivatott. Azt állítják, hogy ha egy tanács ma cenzúrázhat egy hackert, holnap kényszeríthetik arra, hogy cenzúrázzon egy politikai ellenzékit vagy egy legális vállalkozást. Ez a csoport számára a „human-in-the-loop” beavatkozás egy rendszerbeli sebezhetőség, amely aláássa a bizalommentesség alapvető ígéretét.

Másrészt a pragmatisták az abszolút decentralizációt inkább egy törekvésként, mint végső célként tekintenek, nem pedig az első naptól kezdve szükséges követelményként. Állításuk szerint ahhoz, hogy a decentralizált pénzügyek (DeFi) elterjedjenek a mainstreamben, „áramkör-megszakítókra” van szükség a katasztrofális veszteségek enyhítésére. Ebből a szempontból az ASC egy szükséges biztosíték – egy „digitális tűzoltóság” –, amely biztosítja a felelősségre vonhatóságot, ami szükséges a felhasználók védelméhez olyan kifinomult, államilag támogatott szereplőkkel szemben, mint a Lazarus Group.

Ahogyan a Bitcoin.com News és más médiaorgánumok beszámoltak róla, az ASC a bűnüldöző szervek által a kihasználó személyazonosságával kapcsolatban nyújtott információk alapján járt el. A tanács kijelentette, hogy mérlegelte az Arbitrum közösség biztonsága és integritása iránti elkötelezettségét, miközben biztosította, hogy az intézkedés ne gyakoroljon hatást az Arbitrum felhasználóira vagy alkalmazásaira.

Bár a befagyasztás ideiglenes megkönnyebbülést jelent, egy szakértő arra figyelmeztetett, hogy a rablás a DeFi-bűnözés új, veszélyesebb szakaszát jelenti, amelyben a híd sebezhetőségeit szisztematikusan használják fel a hitelezési piacok megfertőzésére.

A támadó stratégiájának utólagos elemzésében Wenzhao Dong, a Certik blokklánc-elemzője rámutatott, hogy az észak-koreai támogatású Lazarus Group kifinomult ismereteket mutatott a piaci likviditásról. Dong megjegyezte, hogy ellentétben a közelmúltbeli Hyperbridge-incidenssel – ahol a támadók 1 milliárd Polkadotot vertek, de az ár összeomlása előtt csak körülbelül 240 000 dollárt tudtak átváltani – a Kelp DAO támadói egy hatékonyabb „kifizetési” útvonalat választottak.

„A Kelp DAO-támadás egyértelmű kockázati mintát mutat a modern DeFi-ben” – mondta Dong. „Egy híd sebezhetősége nem marad elszigetelt; a hitelezési piacok számára is problémává válik. Azzal, hogy hamisan kibocsátott rsETH-t használt fedezetként az Aave-n WETH kölcsönzéséhez, a támadó a hídon történt lopást Aave-n belüli rossz adóssággá alakította.”

Dong megjegyezte, hogy a támadók szándékosan elkerülték a spot piacokat, ahol a hatalmas eladási megbízások csúszást és korai felismerést váltottak volna ki. Ehelyett az Aave-t közvetítőként felhasználva a kockázatot a hitelezési protokollra hárították.

„A DeFi biztonsága összekapcsolt” – tette hozzá Dong. „A protokollok nem összpontosíthatnak kizárólag a saját szerződéseikre; figyelembe kell venniük a rendszerükben lévő minden függőség által jelentett kockázatokat, és ennek megfelelően kell védekező intézkedéseket végrehajtaniuk.”

Az ASC által bejelentett befagyasztást követő órákban közzétett frissítésében a Kelp DAO köszönetet mondott a tanács „határozott fellépéséért”. A SEAL 911 „koordinációját és információszervezését” nevezte meg azon kulcsfontosságú tényezőnek, amely lehetővé tette az érintettek számára, hogy cselekedjenek, mielőtt a hackerek el tudták volna szállítani a fennmaradó 71 millió dollár értékű ETH-t az Arbitrum hálózatáról.

A sikeres befagyasztás ellenére körülbelül 220 millió dollár továbbra is hiányzik. A Kelp DAO megerősítette, hogy elsődleges célja most az Aave-vel és más partnerekkel való együttműködés a kihasználás által okozott „rossz adósság” kezelése érdekében. A szervezet kijelentette, hogy minden rendelkezésre álló lehetőséget meg fog ragadni az rsETH-tulajdonosok támogatására és a protokoll árfolyam-rögzítésének helyreállítására.