Analista di Certik: la vulnerabilità di KelpDAO mette in luce un cambiamento di grande portata nella criminalità informatica cross-chain

• Il 18 aprile, l'Arbitrum Security Council e SEAL 911 hanno congelato 30.766 ETH per mitigare la rapina ai danni di Kelp DAO.
• L'analista di Certik Wenzhao Dong avverte che i furti sui bridge creano ora crediti inesigibili sistemici per piattaforme come Aave.
• Kelp DAO mira a ripristinare l'ancoraggio rsETH e a recuperare i restanti 220 milioni di dollari in asset digitali mancanti.

Sicurezza contro sovranità

Il rapido intervento dell’Arbitrum Security Council (ASC) per congelare 30.766 ETH ha riacceso uno dei dibattiti più fondamentali nel mondo della blockchain: la tensione tra decentralizzazione immutabile e governance pragmatica.

Sebbene il recupero di 71 milioni di dollari in ETH sia una chiara vittoria per le vittime, il metodo ha diviso la comunità in due fazioni distinte. Da un lato, i puristi sostengono che la capacità dell'ASC di congelare unilateralmente le risorse sia una "pendenza scivolosa" verso i sistemi finanziari centralizzati che la criptovaluta era stata progettata per sostituire. Essi sostengono che se oggi un consiglio può censurare un hacker, domani potrebbe essere costretto a censurare un dissidente politico o un'azienda legale. Per questo gruppo, l'intervento "human-in-the-loop" è una vulnerabilità sistemica che mina la promessa fondamentale della fiducia.

D'altra parte, i pragmatici vedono la decentralizzazione assoluta come uno stato finale a cui aspirare piuttosto che un requisito fin dal primo giorno. Essi sostengono che affinché la finanza decentralizzata (DeFi) raggiunga l'adozione mainstream, deve disporre di "interruttori di circuito" per mitigare perdite catastrofiche. Da questa prospettiva, l'ASC è una salvaguardia necessaria — una "squadra dei pompieri digitale" — che fornisce la responsabilità richiesta per proteggere gli utenti da sofisticati attori sponsorizzati dallo Stato come il Gruppo Lazarus.

Come riportato da Bitcoin.com News e da altri media, l'ASC ha agito sulla base delle informazioni fornite dalle forze dell'ordine riguardo all'identità dell'autore dell'attacco. Il consiglio ha dichiarato di aver valutato il proprio impegno per la sicurezza e l'integrità della comunità Arbitrum, assicurandosi al contempo che non vi fossero ripercussioni sugli utenti o sulle applicazioni di Arbitrum.

Sebbene il congelamento fornisca un sollievo temporaneo, un esperto ha avvertito che la rapina rappresenta una nuova fase, più pericolosa, della criminalità DeFi, in cui le vulnerabilità dei bridge vengono sistematicamente utilizzate per infettare i mercati del prestito. Fornendo un'analisi post-mortem della strategia dell'aggressore, Wenzhao Dong, analista blockchain presso Certik, ha sottolineato che il Lazarus Group, sostenuto dalla Corea del Nord, ha dimostrato una comprensione sofisticata della liquidità di mercato. Dong ha osservato che, a differenza del recente incidente di Hyperbridge — in cui gli aggressori hanno coniato 1 miliardo di Polkadot ma sono riusciti a convertire solo circa 240.000 dollari prima che il prezzo crollasse — gli aggressori di Kelp DAO hanno scelto una via di "incasso" più efficiente.

"L'exploit di Kelp DAO mostra un chiaro modello di rischio nella DeFi moderna", ha affermato Dong. "Una vulnerabilità del bridge non rimane isolata; si trasforma in un problema per i mercati del prestito. Utilizzando rsETH coniati in modo fraudolento come garanzia su Aave per prendere in prestito WETH, l'autore dell'attacco ha trasformato un furto dal bridge in un credito inesigibile su Aave."

Dong ha osservato che gli aggressori hanno deliberatamente evitato i mercati spot, dove ordini di vendita massicci avrebbero innescato slippage e un rilevamento precoce. Invece, utilizzando Aave come intermediario, hanno scaricato il rischio sul protocollo di prestito. "La sicurezza della DeFi è interconnessa", ha aggiunto Dong. "I protocolli non possono concentrarsi esclusivamente sui propri contratti; devono considerare i rischi posti da ogni dipendenza nel loro sistema e implementare misure difensive di conseguenza."

In un aggiornamento condiviso poche ore dopo che l'ASC ha annunciato il congelamento, Kelp DAO ha espresso gratitudine per l'"azione decisiva" intrapresa dal consiglio. Ha attribuito al "coordinamento e alla strutturazione delle informazioni" di SEAL 911 il merito di essere stati il fattore chiave che ha permesso alle parti interessate di agire prima che gli hacker potessero spostare i restanti 71 milioni di dollari in ETH fuori dalla rete Arbitrum.

Nonostante il congelamento sia andato a buon fine, circa 220 milioni di dollari rimangono mancanti. Kelp DAO ha confermato che il suo obiettivo principale è ora quello di collaborare con Aave e altri partner per affrontare il "credito inesigibile" creato dall'exploit. L'organizzazione ha dichiarato che perseguirà anche tutte le vie disponibili per supportare i possessori di rsETH e ripristinare il peg del protocollo.