Certik-analist: Kwetsbaarheid bij KelpDAO wijst op ingrijpende verschuiving in cross-chain cybercriminaliteit

Belangrijkste punten:

• De Arbitrum Security Council en SEAL 911 hebben op 18 april 30.766 ETH bevroren om de Kelp DAO-roof te beperken.
• Certik-analist Wenzhao Dong waarschuwt dat diefstallen via bridges nu leiden tot systemische oninbare vorderingen voor platforms zoals Aave.
• Kelp DAO streeft ernaar de koppeling met rsETH te herstellen en de resterende 220 miljoen dollar aan vermiste digitale activa terug te vorderen.

Beveiliging versus soevereiniteit

De snelle interventie van de Arbitrum Security Council (ASC) om 30.766 ETH te bevriezen heeft een van de meest fundamentele debatten in de blockchainwereld opnieuw aangewakkerd: de spanning tussen onveranderlijke decentralisatie en pragmatisch bestuur.

Hoewel het terugvorderen van 71 miljoen dollar aan ETH een duidelijke overwinning is voor de slachtoffers, heeft de methode de gemeenschap in twee kampen verdeeld. Enerzijds stellen puristen dat het vermogen van de ASC om eenzijdig activa te bevriezen een "hellend vlak" is naar de gecentraliseerde financiële systemen die cryptocurrency juist moest vervangen. Zij stellen dat als een raad vandaag een hacker kan censureren, deze morgen gedwongen zou kunnen worden om een politieke dissident of een legaal bedrijf te censureren. Voor deze groep is "human-in-the-loop"-interventie een systemische kwetsbaarheid die de kernbelofte van vertrouweloosheid ondermijnt.

Aan de andere kant zien pragmatici absolute decentralisatie als een ambitieus einddoel in plaats van een vereiste vanaf dag één. Zij stellen dat gedecentraliseerde financiering (DeFi) "circuit breakers" moet hebben om catastrofale verliezen te beperken, wil het mainstream acceptatie bereiken. Vanuit dit perspectief is de ASC een noodzakelijke waarborg – een "digitale brandweer" – die de verantwoordingsplicht biedt die nodig is om gebruikers te beschermen tegen geavanceerde, door de staat gesponsorde actoren zoals de Lazarus Group.

Zoals gemeld door Bitcoin.com News en andere media, handelde de ASC op basis van informatie van wetshandhavingsinstanties over de identiteit van de aanvaller. De raad verklaarde dat het zijn toewijding aan de veiligheid en integriteit van de Arbitrum-gemeenschap afwoog tegen de noodzaak om geen impact te hebben op Arbitrum-gebruikers of -toepassingen.

Hoewel de bevriezing tijdelijke verlichting biedt, waarschuwde een deskundige dat de roof een nieuwe, gevaarlijkere fase van DeFi-criminaliteit vertegenwoordigt, waarbij kwetsbaarheden in bruggen systematisch worden gebruikt om kredietmarkten te infecteren.

In een analyse achteraf van de strategie van de aanvaller wees Wenzhao Dong, een blockchain-analist bij Certik, erop dat de door Noord-Korea gesteunde Lazarus Group blijk gaf van een geavanceerd begrip van marktliquiditeit. Dong merkte op dat, in tegenstelling tot het recente Hyperbridge-incident — waarbij aanvallers 1 miljard Polkadot munden maar slechts ongeveer $240.000 konden omzetten voordat de prijs instortte — de Kelp DAO-aanvallers kozen voor een efficiëntere "cash-out"-route.

"De Kelp DAO-aanval laat een duidelijk risicopatroon zien in de moderne DeFi," zei Dong. "Een kwetsbaarheid in een bridge blijft niet geïsoleerd; het wordt een probleem voor de kredietmarkten. Door vals geslagen rsETH als onderpand te gebruiken op Aave om WETH te lenen, veranderde de aanvaller een bridge-diefstal in een oninbare vordering bij Aave."

Dong merkte op dat de aanvallers opzettelijk spotmarkten vermeden, waar enorme verkooporders slippage en vroegtijdige detectie zouden hebben veroorzaakt. In plaats daarvan schoven ze, door Aave als tussenpersoon te gebruiken, het risico af op het kredietprotocol.

"DeFi-beveiliging is onderling verbonden," voegde Dong toe. "Protocollen kunnen zich niet uitsluitend op hun eigen contracten richten; ze moeten rekening houden met de risico's die elke afhankelijkheid in hun systeem met zich meebrengt en dienovereenkomstig defensieve maatregelen implementeren."

In een update die enkele uren nadat de ASC de bevriezing had aangekondigd werd gedeeld, sprak Kelp DAO zijn dankbaarheid uit voor de "doortastende actie" van de raad. Het noemde de "coördinatie en informatiestructurering" van SEAL 911 als de sleutelfactor die belanghebbenden in staat stelde te handelen voordat de hackers de resterende 71 miljoen dollar aan ETH van het Arbitrum-netwerk konden verplaatsen.

Ondanks de succesvolle bevriezing blijft er ongeveer 220 miljoen dollar vermist. Kelp DAO bevestigde dat de primaire focus nu ligt op samenwerking met Aave en andere partners om de "slechte schulden" aan te pakken die door de exploit zijn ontstaan. De organisatie verklaarde dat het ook alle beschikbare wegen zal bewandelen om rsETH-houders te ondersteunen en de koppeling van het protocol te herstellen.