Minamarkahan ng Chainalysis ang Kritikal na Blind Spot sa Seguridad ng DeFi habang ang $292M na Exploit ay Nakalampas sa Beripikasyon ng Burn

Mahahalagang Takeaways:

• Ibinabandera ng Chainalysis ang isang KelpDAO exploit na naglantad ng kritikal na pagkabigo sa mga trust assumptions sa cross-chain.
• Ipinakita ng pagsusuri na ang mga kapintasan sa disenyo ng Layerzero ay maaaring magpahintulot sa iisang validator na malampasan ang mga safeguard ng DeFi.
• Humaharap ang mga protocol sa tumitinding panganib habang ipinahihiwatig ng Chainalysis na ang mga nakatagong pagkabigo ay maaaring makaiwas sa pagtuklas.

Mga Kapintasan sa Cross-Chain Bridge Naglalantad ng mga Panganib sa Seguridad ng DeFi

Itinampok ng blockchain analytics firm na Chainalysis ang isang $292M na decentralized finance (DeFi) exploit noong Abril 20, na naglantad ng mga kritikal na kahinaan sa disenyo ng cross-chain bridge. Ang insidenteng kinasasangkutan ng rsETH infrastructure ng KelpDAO ay nagpakita kung paano ang mga manipuladong input ay maaaring makalusot sa mga validation system. Nagsisilbi itong senyales ng lumalaking mga pangamba sa mga trust assumptions na nakapaloob sa mga multichain protocol.

Sinabi ng Chainalysis sa social media platform X:

“Ipinapakita ng ~$292M KelpDAO / rsETH bridge exploit ang isang kritikal na blind spot sa seguridad ng DeFi.”

Ipinaliwanag ng kumpanya na ang paglabag ay nagmula sa isang depektibong trust layer sa halip na sa mga sirang smart contract. Tinarget ng mga attacker ang LayerZero infrastructure na sumusuporta sa KelpDAO, at sinamantala ang isang 1-of-1 validator quorum. Umasa ang configuration na iyon sa limitadong remote procedure call endpoints, na lumikha ng iisang point of failure. Kapag nakompromiso, pinahintulutan ng landasing iyon ang mga hindi awtorisadong approval nang walang mas malawak na consensus. Inilarawan ng analytics provider kung paano tinanggap ng system ang mga manipuladong kondisyon bilang valid, kaya nakapagpatuloy ang exploit nang hindi natutukoy ng mga karaniwang safeguard.

Itinatampok ng mga Invariant Failure ang Pangangailangan sa Real-Time Monitoring

Nakapagpasok ang attacker sa mga data input ng validator sa pamamagitan ng pagkompromiso sa mga RPC endpoint. Ang maling impormasyon ay nagdulot na mairehistro ng system ang isang pekeng burn event sa source chain.

“Batay sa maling state na ito, inaprubahan ng bridge ang mensahe at naglabas ng 116,500 rsETH sa Ethereum para sa attacker. Sa katotohanan, walang katumbas na burn na kailanman nangyari. Ganap itong hindi napansin ng karaniwang seguridad dahil ang mga transaksyon ay naisakatuparan nang eksakto ayon sa disenyo sa antas ng code,” paliwanag ng Chainalysis. Nilabag ng sunod-sunod na hakbang na ito ang isang pangunahing bridge invariant na nangangailangan ng pagkakatugma sa pagitan ng mga sinunog na asset at mga naisyung token. Sa kabila ng tamang pagtakbo ng code, ang pag-asa sa integridad ng external data ang nagpagana sa exploit.

Nagtapos ang Chainalysis sa isang mas malawak na babala, na nagsasabing:

“ Pinatutunayan ng atakeng ito na hindi sapat ang pagtuklas ng malicious code; dapat matukoy ng mga protocol kapag ang isang system ay pumapasok sa isang imposibleng state.”

Itinuro ng kumpanya ang pangangailangan para sa mga tuloy-tuloy na monitoring system na kayang mag-validate ng cross-chain consistency sa real time. Ang mga tool tulad ng invariant tracking frameworks ay maaaring tumukoy ng mga pagkakaiba sa pagitan ng mga naka-lock na asset at mga nailabas na pondo. Maaaring pahintulutan ng mga mekanismong ito ang mga protocol na ihinto ang operasyon bago lumaki ang pagkalugi, na pinatitibay ang kahalagahan ng pag-verify sa estado ng buong sistema sa halip na umasa lamang sa code audit.