De ce podurile cross-chain sunt veriga cea mai slabă a DeFi după hackul Kelp DAO de 293 milioane $

Podurile crypto sunt din nou în centrul atenției — și nu din motivele potrivite.

Exploatarea de 293 de milioane de dolari a Kelp DAO din sâmbătă a împins securitatea podurilor în prim-planul industriei crypto, spune Ari Redbord, șeful global al politicilor și afacerilor guvernamentale la TRM Labs.

„Când modelul de securitate al unui emitent de 300 de milioane de dolari se reduce la cheia de semnare a unui singur validator, suprafața de atac încetează să mai fie tehnică și devine structurală", a scris el duminică.

Analiza urmează după ce un atacator a drenat 116.500 rsETH — aproximativ 18% din oferta în circulație a token-ului — prin declanșarea unei funcții pe sistemul de mesagerie cross-chain al LayerZero. În termeni simpli, atacatorul a trimis un mesaj fals care a spus podului Kelp că banii au sosit de pe un alt blockchain. Podul a crezut semnalul și a eliberat token-urile.

Kelp DAO este un protocol de restaking lichid construit pe Ethereum care permite utilizatorilor să câștige atât recompense standard de staking, cât și randament adițional de restaking prin EigenLayer.

Când utilizatorii depun token-uri eligibile, primesc rsETH, un activ tranzacționabil care poate fi folosit pe platformele DeFi în timp ce fondurile subiacente continuă să securizeze multiple rețele. În esență, structura permite investitorilor să mențină capitalul productiv fără a-l bloca, păstrând lichiditatea în timp ce generează profituri stratificate.

Atacul se adaugă la pierderea de 286 de milioane de dolari pe care Drift a suferit-o pe 1 aprilie, ducând pierderile DeFi ale acestei luni la peste 550 de milioane de dolari.

Cum funcționează podurile?

Un pod cross-chain este un software care conectează diferite blockchain-uri, cum ar fi Ethereum și Arbitrum.

Când utilizatorii mută token-uri între lanțuri, podul blochează token-urile originale și creează altele corespunzătoare pe noul lanț. Acest proces depinde de validatori — computere de încredere care confirmă dacă o tranzacție blockchain este autentică.

Podul a fost păcălit să creadă că un mesaj fals de pe un alt blockchain era real, așa că a eliberat token-uri pe care nu ar fi trebuit să le elibereze niciodată. Deoarece doar un validator era configurat să aprobe acele mesaje, un singur punct de eșec a permis atacatorului să deblocheze sute de milioane de dolari.

Configurația Kelp se baza, se pare, pe o Rețea de Verificatori Descentralizați 1/1, sau DVN. Asta înseamnă că un singur validator avea autoritatea de a aproba mesajele cross-chain. Odată ce acel validator a fost compromis sau păcălit, întregul sistem a avut încredere într-un semnal fals.

„Raza de explozie" s-a extins dincolo de Kelp. Aave, SparkLend, Fluid și Upshift au suspendat piețele legate de rsETH, a spus Redbord.

Doar Aave a înregistrat retrageri de peste 5,4 miliarde de dolari în ether pe măsură ce utilizatorii au acționat pentru a limita expunerea, a adăugat el.

Două încercări suplimentare de a drena alți 100 de milioane de dolari au fost blocate după ce portofelul multisemnătură de urgență al Kelp a înghețat contractele în 46 de minute.

„Răspunsul este să ne concentrăm pe apărare: seturi diverse de validatori pe straturile de mesagerie, monitorizare în timp real a fluxurilor de emitere și ardere, multisig-uri de pauză cu acțiune rapidă și playbook-uri cross-protocol care presupun contagiunea", a scris Redbord.

„Aprilie a fost o lună dificilă pentru constructorii DeFi."

Lance Datskoluo este corespondentul de piețe al DL News cu sediul în Europa. Ai un pont? Trimite-i un email la [email protected]