Die Welt der Kryptowährungen gerät ins Wanken, als ein massiver Sicherheitsverstoß weitreichende Auswirkungen hat und Ängste vor weit verbreiteter finanzieller Instabilität auslöst
Der 292-Millionen-Dollar-Exploit von Kelp DAO hat eine Welle von Reaktionen in der gesamten Kryptoindustrie ausgelöst. Entwickler und Händler warnten, dass der Vorfall tiefere Mängel im Aufbau der dezentralen Finanzierung (DeFi) aufgedeckt habe.
Von Marktteilnehmern geteilte Daten zeigen, dass sich die unmittelbaren Folgen weit über das gehackte Protokoll hinaus ausbreiten.
„Der rsETH-Hack führt zu Abhebungen bei allen Kreditprotokollen, sogar bei Solana und nicht betroffenen Protokollen“, sagte 0xngmi in einem Beitrag am Sonntag und wies auf starke Abflüsse hin, darunter „Aave: -6.200 Mio. (-23 %) Nettozuflüsse“ und kleinere, aber bemerkenswerte Rückgänge bei Morpho, Sky und JupLend. rsETH ist das Liquid-Restaking-Protokoll von Kelp DAO für den erneuten Einsatz von Ether und ein Liquid Restating Token (LRT), der es Benutzern ermöglicht, Ether-Einsatz- und Restaking-Belohnungen zu verdienen und gleichzeitig ihre Vermögenswerte liquide zu halten, selbst wenn sie im Einsatz sind.
Dieser Druck wurde schnell zu etwas Ernsterem. In einem weit verbreiteten Beitrag von Josu San Martin wurde der kaskadierende Liquiditätsstress auf den Kreditmärkten beschrieben: „$ETH-Einleger können die $ETH nicht abheben, also leihen sie sich Stables, um Gelder abzuheben … Das ist ein voller Ansturm auf $AAVE.“
Während Stani Kulechov, der Gründer von Aave, sagte, der Exploit sei extern und die Verträge des Protokolls seien nicht kompromittiert worden, gerieten die Einleger in Panik. Der Gesamtwert der gesperrten Mittel (oder Einlagen) sank laut DefiLlama von 26,4 Milliarden US-Dollar am 18. April in den US-Morgenstunden am Sonntag auf fast 20 Milliarden US-Dollar. Auch der $AAVE-Token fiel um mehr als 18 %, da die Einleger sich über das Wochenende bemühten, ihr Geld abzuheben.
Eine „Fallstudie“
Der Exploit selbst ist zu einem Brennpunkt für Ingenieure und Entwickler geworden.
Mehrere Entwickler widerlegten die anfängliche Annahme, dass das Problem auf die Kerninfrastruktur zurückzuführen sei. „Der KelpDAO-Exploit (~290 Millionen US-Dollar) ist KEIN LayerZero-Protokollfehler. Es handelt sich um ein Konfigurationsproblem und eine Fallstudie, die sich jedes Projekt mit einem Cross-Chain-Token heute ansehen muss“, heißt es in einer technischen Aufschlüsselung von cryptogoblin.
Der Thread erläuterte detailliert, wie ein einzelner Verifizierungspunkt den Angriff ermöglichte. „Eine Signatur und 116.500 rsETH sind aus dem Nichts auf Ethereum entstanden“, hieß es in dem Beitrag und beschrieb ein System, in dem „die [intelligenten] Verträge nicht gebrochen wurden. Die Verifizierungsschicht war es“, behauptete der Beitrag.
Andere argumentierten, dass das Problem tiefer geht als eine einzelne Setup-Wahl.
Ein Kritiker, der sich auf X Fishy Catfish nennt, bezeichnete es als Designfehler und behauptete: „Es gibt keine Sicherheitsuntergrenze … Eine Konfiguration kann ein 1/1-DVN sein und der von Ihnen gewählte DVN kann ein einzelner Knoten sein, der von einer einzelnen Entität betrieben wird.“ Ein DVN (Decentralized Verifier Network) in DeFi, insbesondere innerhalb von LayerZero V2, ist eine unabhängige Einheit, die für die Validierung und Bescheinigung der Authentizität von Nachrichten verantwortlich ist, die über verschiedene Blockchain-Netzwerke gesendet werden. Im Wesentlichen überprüfen DVNs Nachrichten-Hashes zwischen einer Quellkette und einer Zielkette.
Um den Punkt klarer zu machen, zog der Autor einen realen Vergleich: „Stellen Sie sich vor, ein Achterbahnhersteller würde Vergnügungsparks erlauben, individuell über die Mindestsicherheitsanforderungen zu entscheiden.“ Im Wesentlichen sagt der Autor lediglich, dass Flexibilität ohne Leitplanken versteckte Risiken mit sich bringen kann.
Der Beitrag ging sogar so weit zu behaupten, dass das Setup das Problem innerhalb des Designs sei. „Ich persönlich halte dies für ein fehlerhaftes Design. Modulare Sicherheit ist ein lohnenswerter Designraum, der Sicherheitsbereich sollte jedoch über eine native Sicherheitsuntergrenze verfügen, die recht stark ist, und darüber hinaus *zusätzliche* Sicherheitsebenen für hochwertigere Anwendungsfälle ermöglichen.“
„DeFi ist tot“
Es sind nicht nur das Ausmaß und die Komplexität des Exploits, die die scharfe, panische Kritik hervorriefen. Das Ausmaß des Exploits hat die Besorgnis verstärkt.
Betroffen waren rund 116.500 rsETH, etwa 18 % des Angebots. Der Angreifer täuschte die kettenübergreifende Nachrichtenschicht von LayerZero vor und glaubte, dass eine gültige Anweisung von einem anderen Netzwerk eingetroffen sei, was Kelps Brücke dazu veranlasste, 116.500 rsETH an eine vom Angreifer kontrollierte Adresse freizugeben.
Die Protokolle reagierten, indem sie Märkte einfrierten und Funktionen pausierten. Aave hat die rsETH-Aktivität gestoppt. Lido hat die mit dem Vermögenswert verbundenen Einlagen ausgesetzt. Andere Projekte ergriffen ähnliche Maßnahmen, um die Gefährdung im weiteren Verlauf der Situation zu begrenzen.
Über die technische Debatte hinaus drehte sich die Stimmung im gesamten Kryptobereich stark ins Negative. Ein Beitrag brachte den Stimmungsumschwung vielleicht in unverblümten Worten zum Ausdruck: „DeFi ist tot … ‚einfach Aave verwenden‘ ist tot“, während er hinzufügte: „Das Zeitalter der Kryptowährungen ist vorbei“ und die Frage: „Wenn Sie das lesen – warum sind Sie dann immer noch in der Kryptowährung tätig?“
Auch wenn die Reaktion wie eine Überreaktion klingen mag, ist diese Art von „reflexartiger“ Reaktion nach großen Heldentaten nicht ungewöhnlich, aber die Breite dieses Ereignisses fällt auf.
Der Angriff wirkte sich gleichzeitig auf die kettenübergreifende Infrastruktur, die Neuvergabe von Modellen und die Kreditmärkte aus. Es folgt auch eine Reihe aktueller Vorfälle. Der Hack landet für DeFi in einer ungewöhnlich feindseligen Phase, insbesondere in diesem Monat. Dem auf Solana basierenden Perpetuals-Protokoll Drift wurden am 1. April durch einen Angriff, der später mit Nordkorea verbundenen Akteuren in Verbindung gebracht wurde, etwa 285 Millionen US-Dollar entzogen, und mindestens ein Dutzend kleinere Protokolle wurden zerstört