Penganalisis Certik: Eksploit KelpDAO Mendedahkan Peralihan Berisiko Tinggi dalam Jenayah Siber Rentas Rantaian

Intipati Utama:

• Majlis Keselamatan Arbitrum dan SEAL 911 membekukan 30,766 ETH pada 18 April untuk mengurangkan kesan rompakan Kelp DAO.
• Penganalisis Certik, Wenzhao Dong, memberi amaran bahawa kecurian melalui jambatan kini mewujudkan hutang lapuk sistemik bagi platform seperti Aave.
• Kelp DAO menyasarkan untuk memulihkan tambatan rsETH dan mendapatkan semula baki $220 juta aset digital yang hilang.

Keselamatan vs. Kedaulatan

Campur tangan pantas Majlis Keselamatan Arbitrum (ASC) untuk membekukan 30,766 ETH telah mencetuskan semula salah satu perdebatan paling asas dalam blockchain: ketegangan antara desentralisasi yang tidak boleh diubah dan tadbir urus pragmatik.

Walaupun pemulihan $71 juta dalam ETH merupakan kemenangan jelas bagi mangsa, kaedahnya telah memecahkan komuniti kepada dua kem yang berbeza. Di satu pihak, golongan puris berhujah bahawa keupayaan ASC untuk membekukan aset secara unilateral ialah “cerun licin” ke arah sistem kewangan berpusat yang cryptocurrency direka untuk menggantikannya. Mereka menegaskan bahawa jika sebuah majlis boleh menapis seorang penggodam hari ini, ia boleh dipaksa untuk menapis seorang pembangkang politik atau perniagaan yang sah esok. Bagi kumpulan ini, campur tangan “manusia dalam gelung” ialah kelemahan sistemik yang menjejaskan janji teras tanpa kepercayaan (trustlessness).

Di pihak yang lain, golongan pragmatis melihat desentralisasi mutlak sebagai keadaan akhir yang diidamkan, bukannya keperluan pada hari pertama. Mereka berpendapat bahawa untuk kewangan terdesentralisasi (DeFi) mencapai penerimaan arus perdana, ia mesti mempunyai “pemutus litar” untuk mengurangkan kerugian bencana. Dari perspektif ini, ASC ialah perlindungan yang diperlukan—sebuah “jabatan bomba digital”—yang menyediakan akauntabiliti yang diperlukan untuk melindungi pengguna daripada pelaku canggih tajaan negara seperti Kumpulan Lazarus.

Seperti dilaporkan oleh Bitcoin.com News dan saluran media lain, ASC bertindak berdasarkan maklumat daripada penguat kuasa undang-undang berkaitan identiti pihak yang mengeksploit. Majlis tersebut menyatakan bahawa ia menimbang komitmennya terhadap keselamatan dan integriti komuniti Arbitrum sambil memastikan tiada kesan terhadap pengguna atau aplikasi Arbitrum.

Walaupun pembekuan itu memberikan kelegaan sementara, seorang pakar memberi amaran bahawa rompakan tersebut mewakili fasa baharu jenayah DeFi yang lebih berbahaya, di mana kelemahan jambatan digunakan secara sistematik untuk menjangkiti pasaran pinjaman.

Dalam memberikan analisis pasca-insiden terhadap strategi penyerang, Wenzhao Dong, seorang penganalisis blockchain di Certik, menunjukkan bahawa Kumpulan Lazarus yang disokong Korea Utara mempamerkan pemahaman yang canggih tentang kecairan pasaran. Dong menyatakan bahawa, tidak seperti insiden Hyperbridge baru-baru ini — di mana penyerang menempa 1 bilion Polkadot tetapi hanya berjaya menukar sekitar $240,000 sebelum harga merudum — penyerang Kelp DAO memilih laluan “cash-out” yang lebih cekap.

“Eksploit Kelp DAO menunjukkan corak risiko yang jelas dalam DeFi moden,” kata Dong. “Kelemahan jambatan tidak kekal terasing; ia bertukar menjadi masalah untuk pasaran pinjaman. Dengan menggunakan rsETH yang ditempa secara palsu sebagai cagaran di Aave untuk meminjam WETH, penyerang menukar kecurian jambatan kepada hutang lapuk Aave.”

Dong menyatakan bahawa para penyerang sengaja mengelakkan pasaran spot, di mana pesanan jual berskala besar akan mencetuskan slippage dan pengesanan awal. Sebaliknya, dengan menggunakan Aave sebagai orang tengah, mereka memindahkan risiko kepada protokol pinjaman.

“Keselamatan DeFi saling berkait,” tambah Dong. “Protokol tidak boleh hanya memberi tumpuan kepada kontrak mereka sendiri; mereka mesti mempertimbangkan risiko yang dibawa oleh setiap kebergantungan dalam sistem mereka dan melaksanakan langkah pertahanan dengan sewajarnya.”

Dalam kemas kini yang dikongsi beberapa jam selepas ASC mengumumkan pembekuan itu, Kelp DAO menyatakan penghargaan atas “tindakan tegas” yang diambil oleh majlis tersebut. Ia mengiktiraf “penyelarasan dan penstrukturan maklumat” SEAL 911 sebagai faktor utama yang membolehkan pihak berkepentingan bertindak sebelum penggodam dapat memindahkan baki $71 juta dalam ETH keluar daripada rangkaian Arbitrum.

Walaupun pembekuan itu berjaya, kira-kira $220 juta masih hilang. Kelp DAO mengesahkan fokus utamanya kini adalah bekerjasama dengan Aave dan rakan lain untuk menangani “hutang lapuk” yang diwujudkan oleh eksploit tersebut. Organisasi itu juga menyatakan ia akan meneroka semua saluran yang tersedia untuk menyokong pemegang rsETH dan memulihkan tambatan protokol.