Analista ng Certik: Ibinunyag ng Exploit sa KelpDAO ang Mataas ang Pustang Pagbabago sa Cross-Chain na Cybercrime

Mahahalagang Punto:

• Ni-freeze ng Arbitrum Security Council at SEAL 911 ang 30,766 ETH noong Abril 18 upang mabawasan ang pinsala mula sa pagnanakaw sa Kelp DAO.
• Nagbabala ang Certik analyst na si Wenzhao Dong na ang mga pagnanakaw sa bridge ngayon ay lumilikha na ng sistemikong “bad debt” para sa mga platform tulad ng Aave.
• Layunin ng Kelp DAO na maibalik ang rsETH peg at mabawi ang natitirang $220 milyon na nawawalang mga digital asset.

Seguridad vs. Soberanya

Ang mabilis na interbensyon ng Arbitrum Security Council (ASC) upang i-freeze ang 30,766 ETH ay muling nagpaalab sa isa sa mga pinaka-pundamental na debate sa blockchain: ang tensyon sa pagitan ng hindi nababagong desentralisasyon at pragmatikong pamamahala.

Bagama’t malinaw na tagumpay para sa mga biktima ang pagbawi ng $71 milyon sa ETH, hinati ng ginamit na pamamaraan ang komunidad sa dalawang magkaibang kampo. Sa isang banda, iginiit ng mga purista na ang kakayahan ng ASC na mag-freeze ng mga asset nang mag-isa ay isang “madulas na dalisdis” patungo sa mga sentralisadong sistemang pinansyal na idinisenyong palitan ng cryptocurrency. Ayon sa kanila, kung kayang mag-censor ng isang konseho sa isang hacker ngayon, maaari rin itong piliting mag-censor ng isang political dissident o isang lehitimong negosyo bukas. Para sa grupong ito, ang interbensyong “human-in-the-loop” ay isang sistemikong kahinaan na sumisira sa pangunahing pangako ng trustlessness.

Sa kabilang banda, tinitingnan ng mga pragmatista ang ganap na desentralisasyon bilang isang aspirasyonal na end-state sa halip na isang kinakailangan sa unang araw. Ayon sa kanila, upang makamit ng decentralized finance (DeFi) ang mainstream adoption, kailangan nitong magkaroon ng mga “circuit breaker” upang mabawasan ang mga sakunang pagkalugi. Sa pananaw na ito, ang ASC ay isang kailangang safeguard—isang “digital fire department”—na nagbibigay ng pananagutan na kailangan upang maprotektahan ang mga user laban sa mga sopistikadong state-sponsored actor tulad ng Lazarus Group.

Gaya ng iniulat ng Bitcoin.com News at iba pang media outlet, kumilos ang ASC batay sa input mula sa law enforcement hinggil sa pagkakakilanlan ng exploiter. Sinabi ng konseho na tinimbang nito ang kanyang pangako sa seguridad at integridad ng komunidad ng Arbitrum habang tinitiyak na walang magiging epekto sa mga user o application ng Arbitrum.

Bagama’t nagbibigay ang pag-freeze ng pansamantalang ginhawa, nagbabala ang isang eksperto na ang pagnanakaw ay kumakatawan sa isang bago at mas mapanganib na yugto ng krimeng DeFi kung saan sistematikong ginagamit ang mga kahinaan sa bridge upang mahawahan ang mga lending market.

Sa pagbibigay ng post-mortem sa estratehiya ng umaatake, itinuro ni Wenzhao Dong, isang blockchain analyst sa Certik, na ang Lazarus Group na suportado ng North Korea ay nagpakita ng sopistikadong pag-unawa sa liquidity ng merkado. Napansin ni Dong na, hindi tulad ng kamakailang insidente sa Hyperbridge — kung saan nag-mint ang mga umaatake ng 1 bilyong Polkadot ngunit nakapag-convert lamang ng humigit-kumulang $240,000 bago bumagsak ang presyo — pinili ng mga umaatake sa Kelp DAO ang mas episyenteng rutang “cash-out”.

“Ipinapakita ng Kelp DAO exploit ang isang malinaw na risk pattern sa modernong DeFi,” sabi ni Dong. “Ang isang kahinaan sa bridge ay hindi nananatiling hiwalay; nagiging problema ito para sa mga lending market. Sa paggamit ng maling na-mint na rsETH bilang collateral sa Aave upang makahiram ng WETH, ginawang bad debt sa Aave ng umaatake ang isang pagnanakaw sa bridge.”

Napansin ni Dong na sadyang iniwasan ng mga umaatake ang mga spot market, kung saan ang malalaking sell order ay magti-trigger ng slippage at maagang pagkatuklas. Sa halip, sa paggamit sa Aave bilang middleman, inilipat nila ang panganib sa lending protocol.

“Magkakakonekta ang seguridad sa DeFi,” dagdag ni Dong. “Hindi maaaring magpokus ang mga protocol lamang sa sarili nilang mga contract; kailangan nilang isaalang-alang ang mga panganib na dulot ng bawat dependency sa kanilang sistema at magpatupad ng mga depensibong hakbang nang naaayon.”

Sa isang update na ibinahagi ilang oras matapos ianunsyo ng ASC ang pag-freeze, nagpahayag ng pasasalamat ang Kelp DAO para sa “mapagpasyang aksyon” na ginawa ng konseho. Ikinredito nito ang “koordinasyon at pag-istruktura ng impormasyon” ng SEAL 911 bilang pangunahing salik na nagbigay-daan sa mga stakeholder na kumilos bago mailipat ng mga hacker ang natitirang $71 milyon sa ETH palabas ng Arbitrum network.

Sa kabila ng matagumpay na pag-freeze, humigit-kumulang $220 milyon ang nananatiling nawawala. Kinumpirma ng Kelp DAO na ang pangunahing pokus nito ngayon ay ang pakikipagtulungan sa Aave at iba pang partner upang tugunan ang “bad debt” na nalikha ng exploit. Sinabi ng organisasyon na susundan din nito ang lahat ng magagamit na paraan upang suportahan ang mga may hawak ng rsETH at maibalik ang peg ng protocol.