Chainalysis Menyoroti Titik Buta Kritis dalam Keamanan DeFi Seiring Eksploitasi Senilai $292 Juta Mengelabui Verifikasi Pembakaran

Poin Utama:

• Chainalysis mengidentifikasi serangan terhadap KelpDAO yang mengungkap kegagalan kritis dalam asumsi kepercayaan lintas rantai.
• Analisis menunjukkan bahwa kelemahan desain Layerzero dapat memungkinkan seorang validator melewati sistem pengamanan DeFi.
• Protokol menghadapi risiko yang semakin meningkat karena Chainalysis menandakan bahwa kegagalan tersembunyi mungkin lolos dari deteksi.

Kelemahan Jembatan Antar-Rantai Mengungkap Risiko Keamanan DeFi

Perusahaan analitik blockchain Chainalysis menyoroti eksploitasi keuangan terdesentralisasi (DeFi) senilai $292 juta pada 20 April, yang mengungkap kelemahan kritis dalam desain jembatan lintas rantai. Insiden yang melibatkan infrastruktur rsETH KelpDAO menunjukkan bagaimana input yang dimanipulasi dapat melewati sistem validasi. Kasus ini menandakan kekhawatiran yang semakin meningkat seputar asumsi kepercayaan yang tertanam dalam protokol multichain.

Chainalysis menyatakan di platform media sosial X:

“Eksploitasi jembatan KelpDAO / rsETH senilai ~$292 juta menyoroti titik buta kritis dalam keamanan DeFi.”

Perusahaan tersebut menjelaskan bahwa pelanggaran tersebut berasal dari lapisan kepercayaan yang cacat, bukan dari kontrak pintar yang rusak. Para penyerang menargetkan infrastruktur LayerZero yang mendukung KelpDAO, dengan mengeksploitasi kuorum validator 1-dari-1. Konfigurasi tersebut bergantung pada titik akhir panggilan prosedur jarak jauh yang terbatas, sehingga menciptakan titik kegagalan tunggal. Setelah disusupi, jalur tersebut memungkinkan persetujuan yang tidak sah tanpa konsensus yang lebih luas. Penyedia analitik tersebut menjelaskan bagaimana sistem menerima kondisi yang dimanipulasi sebagai valid, sehingga memungkinkan eksploitasi berlangsung tanpa terdeteksi oleh pengamanan standar.

Kegagalan Invariant Menyoroti Kebutuhan Pemantauan Real-Time

Penyerang menyusup ke masukan data validator dengan mengkompromikan titik akhir RPC. Informasi palsu menyebabkan sistem mencatat peristiwa pembakaran palsu di rantai sumber.
“Berdasarkan keadaan palsu ini, jembatan menyetujui pesan dan melepaskan 116.500 rsETH di Ethereum kepada penyerang. Pada kenyataannya, tidak pernah terjadi pembakaran yang sesuai. Keamanan standar sama sekali tidak mendeteksi hal ini karena transaksi dieksekusi persis seperti yang dirancang pada tingkat kode,” jelas Chainalysis. Urutan ini melanggar invarian inti jembatan yang mensyaratkan kesetaraan antara aset yang dibakar dan token yang diterbitkan. Meskipun eksekusi kode benar, ketergantungan pada integritas data eksternal memungkinkan eksploitasi berhasil.
Chainalysis menyimpulkan dengan peringatan yang lebih luas, menyatakan:

“Serangan ini membuktikan bahwa mendeteksi kode berbahaya saja tidak cukup; protokol harus mendeteksi ketika sistem memasuki keadaan yang mustahil.”

Perusahaan tersebut menyoroti kebutuhan akan sistem pemantauan berkelanjutan yang mampu memvalidasi konsistensi lintas rantai secara real-time. Alat seperti kerangka kerja pelacakan invarian dapat mengidentifikasi ketidaksesuaian antara aset yang terkunci dan dana yang dilepaskan. Mekanisme ini memungkinkan protokol untuk menghentikan operasi sebelum kerugian membesar, memperkuat pentingnya memverifikasi keadaan sistem secara keseluruhan daripada hanya mengandalkan audit kode.