Analytik spoločnosti Certik: Zraniteľnosť v KelpDAO odhaľuje zásadný posun v oblasti medzi-reťazcovej kyberkriminality

Kľúčové body:

• Bezpečnostná rada Arbitrum a SEAL 911 zmrazili 18. apríla 30 766 ETH, aby zmiernili následky lúpeže Kelp DAO.
• Analytik spoločnosti Certik Wenzhao Dong varuje, že krádeže cez mosty teraz vytvárajú systémové nedobytné pohľadávky pre platformy ako Aave.
• Kelp DAO sa snaží obnoviť viazanie rsETH a získať späť zostávajúcich 220 miliónov dolárov v chýbajúcich digitálnych aktívach.

Bezpečnosť vs. suverenita

Rýchly zásah Bezpečnostnej rady Arbitrum (ASC) zmraziť 30 766 ETH opäť roznietil jednu z najzákladnejších debát v oblasti blockchainu: napätie medzi nemennou decentralizáciou a pragmatickým riadením.

Zatiaľ čo získanie 71 miliónov dolárov v ETH je jasným víťazstvom pre obete, táto metóda rozdelila komunitu na dva odlišné tábory. Na jednej strane puristi argumentujú, že schopnosť ASC jednostranne zmraziť aktíva je „šikmou plochou“ smerom k centralizovaným finančným systémom, ktoré mala kryptomena nahradiť. Tvrdia, že ak rada môže dnes cenzurovať hackera, zajtra by mohla byť donútená cenzurovať politického disidenta alebo legálny podnik. Pre túto skupinu je zásah „človeka v slučke“ systémovou zraniteľnosťou, ktorá podkopáva základný sľub bezdôvery.

Na druhej strane pragmatici vnímajú absolútnu decentralizáciu skôr ako ambiciózny konečný cieľ než ako požiadavku hneď od začiatku. Tvrdia, že aby decentralizované financie (DeFi) dosiahli široké prijatie, musia mať „ističe“, ktoré zmiernia katastrofické straty. Z tohto pohľadu je ASC nevyhnutnou ochranou – „digitálnym hasičským zborom“ – poskytujúcou zodpovednosť potrebnú na ochranu používateľov pred sofistikovanými štátom sponzorovanými aktérmi, ako je Lazarus Group.

Ako informoval Bitcoin.com News a ďalšie médiá, ASC konala na základe informácií od orgánov činných v trestnom konaní týkajúcich sa identity útočníka. Rada uviedla, že zvážila svoj záväzok voči bezpečnosti a integritou komunity Arbitrum a zároveň zabezpečila, aby to nemalo žiadny vplyv na používateľov alebo aplikácie Arbitrum.

Hoci zmrazenie poskytuje dočasnú úľavu, jeden expert varoval, že táto lúpež predstavuje novú, nebezpečnejšiu fázu zločinu v oblasti DeFi, kde sa zraniteľnosti mostov systematicky využívajú na infikovanie úverových trhov.

Wenzhao Dong, analytik blockchainu v spoločnosti Certik, v analýze stratégie útočníka poukázal na to, že skupina Lazarus podporovaná Severnou Kóreou preukázala sofistikované chápanie likvidity trhu. Dong poznamenal, že na rozdiel od nedávneho incidentu s Hyperbridge — kde útočníci vytvorili 1 miliardu Polkadot, ale podarilo sa im premeniť len asi 240 000 USD predtým, ako cena klesla — útočníci Kelp DAO zvolili efektívnejšiu cestu „výberu hotovosti“.

„Exploit Kelp DAO ukazuje jasný vzorec rizika v modernom DeFi,“ povedal Dong. „Zraniteľnosť mostíka nezostáva izolovaná; mení sa na problém pre úverové trhy. Použitím falošne vytvoreného rsETH ako kolaterálu na Aave na požičanie WETH útočník premenil krádež cez mostík na nedobytnú pohľadávku Aave.“

Dong poznamenal, že útočníci zámerne obišli spotové trhy, kde by masívne predajné príkazy vyvolali sklz a včasné odhalenie. Namiesto toho, použitím Aave ako sprostredkovateľa, preniesli riziko na úverový protokol.

„Bezpečnosť DeFi je prepojená,“ dodal Dong. „Protokoly sa nemôžu sústrediť výlučne na svoje vlastné zmluvy; musia zohľadňovať riziká, ktoré predstavuje každá závislosť v ich systéme, a podľa toho implementovať obranné opatrenia.“

V aktualizácii zverejnenej niekoľko hodín po tom, čo ASC oznámilo zmrazenie, Kelp DAO vyjadrilo vďaku za „rozhodné konanie“ rady. Za kľúčový faktor, ktorý umožnil zainteresovaným stranám konať skôr, ako hackeri stihli presunúť zostávajúcich 71 miliónov dolárov v ETH zo siete Arbitrum, označilo „koordináciu a štruktúrovanie informácií“ zo strany SEAL 911.

Napriek úspešnému zmrazeniu stále chýba približne 220 miliónov dolárov. Kelp DAO potvrdilo, že sa teraz zameriava predovšetkým na spoluprácu s Aave a ďalšími partnermi s cieľom vyriešiť „zlé dlhy“ spôsobené týmto zneužitím. Organizácia uviedla, že bude tiež využívať všetky dostupné prostriedky na podporu držiteľov rsETH a obnovenie viazania protokolu.