Kryptoövergångar – DeFi:s svagaste länk efter 293 miljoner dollar hack

Kryptoövergångar är återigen i fokus – och det av fel anledningar. Lördagens hack mot Kelp DAO, där 293 miljoner dollar stals, har satt ljuset på säkerhetsbrister i övergångssystemen, enligt Ari Redbord, global chef för policy och statliga frågor på TRM Labs.

"När säkerhetsmodellen för en aktör på 300 miljoner dollar reduceras till en enda validators signaturnyckel, slutar attackytan att vara teknisk och blir istället strukturell," skrev han på söndagen.

Attacken genomfördes genom att en angripare utlöste en funktion i LayerZero:s system för tvärkedjemeddelanden. Genom att skicka ett falskt meddelande fick angriparen Kelp DAO:s övergång att tro att pengar hade anlänt från en annan blockkedja. Övergången släppte sedan ut tokens motsvarande 116 500 rsETH – cirka 18 procent av den cirkulerande tillgången.

Kelp DAO är ett likviditetsrestakningsprotokoll på Ethereum som låter användare tjäna både standardiserade stakingbelöningar och ytterligare avkastning genom EigenLayer. När användare sätter in tokens får de rsETH, en handlingsbar tillgång som kan användas inom DeFi-plattformar medan de underliggande medlen fortsätter att säkra flera nätverk. Strukturen gör det möjligt för investerare att hålla sitt kapital aktivt utan att låsa det, vilket bevarar likviditeten samtidigt som flerskiktad avkastning genereras.

En månad av förluster inom DeFi

Attacken mot Kelp DAO är den senaste i en rad säkerhetsincidenter inom decentraliserad finans. Den följer på Drifts förlust på 286 miljoner dollar den 1 april, vilket gör att DeFis totala förluster denna månad överstiger 550 miljoner dollar.

Hur fungerar övergångar?

En tvärkedjeövergång är mjukvara som kopplar samman olika blockkedjor, som Ethereum och Arbitrum. När användare flyttar tokens mellan kedjorna låser övergången de ursprungliga tokens och skapar motsvarande tokens på den nya kedjan. Denna process är beroende av validatorer – betrodda datorer som bekräftar om en blockkedjetransaktion är äkta.

I Kelp DAO:s fall var systemet konfigurerat med en 1/1 Decentralised Verifier Network (DVN), vilket innebar att en enda validator hade auktoriteten att godkänna tvärkedjemeddelanden. När denna validator komprometterades eller lurades, accepterade hela systemet det falska meddelandet. Denna enskilda felpunkt gjorde det möjligt för angriparen att frigöra hundratals miljoner dollar.

Effekterna sträcker sig långt

Konsekvenserna av attacken gick långt utöver Kelp DAO. Aave, SparkLend, Fluid och Upshift valde att pausa marknader kopplade till rsETH, enligt Redbord. Aave ensam såg mer än 5,4 miljarder dollar i etheruttag när användare försökte begränsa sin exponering.

Två ytterligare försök att tömma ytterligare 100 miljoner dollar stoppades när Kelp DAO:s nödfallsmultisignaturplånbok frös kontrakten inom 46 minuter.

Vägen framåt: bättre säkerhet och beredskap

Redbord betonar vikten av att stärka säkerheten inom DeFi:

• Mångfaldiga validatoruppsättningar på meddelandelager
• Real-tidsövervakning av mint- och burn-flöden
• Snabbt agerande pauser via multisignaturer
• Korsprotokollsspelböcker som antar smittspridning

"April har varit en tuff månad för DeFi-utvecklare," säger Redbord.

Lance Datskoluo är DL News Europabaserade marknadskorrespondent. Har du tips? Mejla honom på [email protected].