Мир криптовалюты шатается, поскольку масштабное нарушение безопасности вызывает волновой эффект, вызывая опасения по поводу широкомасштабной финансовой нестабильности.
Эксплойт Kelp DAO стоимостью 292 миллиона долларов вызвал волну реакции в криптоиндустрии: разработчики и трейдеры предупреждают, что этот инцидент выявил более глубокие недостатки в построении децентрализованных финансов (DeFi).
Данные, которыми поделились участники рынка, показывают, что непосредственные последствия распространились далеко за пределы взломанного протокола.
«Взлом rsETH приводит к снятию средств по всем протоколам кредитования, даже по Solana и незатронутым протоколам», — заявил 0xngmi в одном из постов в воскресенье, указав на резкий отток средств, включая «Aave: -6200 млн (-23%) чистый приток» и меньшие, но заметные снижения в Morpho, Sky и JupLend. rsETH — это протокол ликвидного рестейкинга эфира Kelp DAO, а также токен ликвидного ретейкинга (LRT), который позволяет пользователям зарабатывать стейкинг эфира и вознаграждения за рестейкинг, сохраняя при этом свои активы ликвидными, даже если они заблокированы в стейкинге.
Это давление быстро переросло во что-то более серьезное. В одном широко распространенном посте Джосу Сан Мартина описывается каскадный стресс ликвидности на кредитных рынках: «Вкладчики $ETH не могут вывести $ETH, поэтому они берут взаймы стабильные деньги, чтобы «вывести» средства… Это полная задержка на $AAVE».
Хотя Стани Кулехов, основатель Aave, заявил, что эксплойт был внешним и что контракты протокола не были скомпрометированы, вкладчики запаниковали. По данным DefiLlama, общая заблокированная сумма (или депозиты) упала с $26,4 млрд 18 апреля до почти $20 млрд в утренние часы в США в воскресенье. Токен $AAVE также упал более чем на 18%, поскольку вкладчики пытались вывести свои деньги в выходные.
«Тематическое исследование»
Эксплойт сам по себе стал центром внимания инженеров и разработчиков.
Некоторые разработчики опровергли первоначальные предположения о том, что проблема связана с базовой инфраструктурой. «Эксплойт KelpDAO (~ 290 миллионов долларов США) НЕ является ошибкой протокола LayerZero. Это проблема конфигурации и тематическое исследование, которое сегодня должен рассмотреть каждый проект с кросс-чейн-токеном», — говорится в одном из технических докладов криптогоблина.
В теме подробно описано, как одна точка проверки позволила провести атаку. "Одна подпись и 116 500 rsETH материализовались из воздуха на Ethereum", - говорится в сообщении, описывая систему, в которой "[смарт] контракты не были нарушены. Уровень проверки был", - утверждается в сообщении.
Другие утверждали, что проблема лежит глубже, чем просто выбор одной настройки.
Один критик, который выступил под именем Fishy Catfish на X, охарактеризовал это как недостаток дизайна, утверждая, что: «нет никакого уровня безопасности… Конфигурация может быть DVN 1/1, а выбранный вами DVN может быть одним узлом, управляемым одним объектом». DVN (децентрализованная сеть проверки) в DeFi, особенно в LayerZero V2, — это независимый объект, отвечающий за проверку и подтверждение подлинности сообщений, отправляемых через различные сети блокчейнов. По сути, DVN проверяют хэши сообщений между цепочкой источника и цепочкой назначения.
Чтобы прояснить эту мысль, автор провел сравнение с реальным миром: «представьте, если бы производитель американских горок позволил паркам развлечений индивидуально решать, каковы минимальные требования безопасности». По сути, автор просто говорит, что гибкость без ограничений может создать скрытые риски.
В посте даже утверждалось, что проблема в конструкции — это установка. «Лично я считаю, что это ошибочная конструкция. Модульная безопасность — это стоящее пространство для проектирования, однако уровень безопасности должен иметь достаточно высокий уровень безопасности, а затем допускать *дополнительные* уровни безопасности поверх него для более ценных вариантов использования».
«DeFi мертв»
Резкую и паническую критику вызвало не только количество и сложность эксплойта. Масштаб эксплойта усилил обеспокоенность.
Пострадало примерно 116 500 rsETH, около 18% поставок. Злоумышленник обманом заставил уровень межсетевого обмена сообщениями LayerZero поверить в то, что действительная инструкция поступила из другой сети, что заставило мост Kelp выпустить 116 500 rsETH на адрес, контролируемый злоумышленником.
Протоколы ответили заморозкой рынков и приостановкой функций. Aave остановил деятельность rsETH. Лидо приостановил депозиты, привязанные к активу. Другие проекты предприняли аналогичные шаги, чтобы ограничить воздействие по мере развития ситуации.
Помимо технических дебатов, настроения в сфере криптовалют стали резко негативными. В одном посте, возможно, прямо отражена смена настроений: «DeFi мертв… «просто используйте aave» мертво», при этом добавлено, что «эпоха криптографии закончилась», и задан вопрос: «Если вы читаете это, почему вы все еще занимаетесь криптовалютой?»
Хотя такая реакция может показаться чрезмерной, такая «рефлекторная» реакция не является чем-то необычным после крупных эксплойтов, но масштаб этого события выделяется.
Атака затронула межсетевую инфраструктуру, одновременно изменив модели и кредитуя рынки. Это также следует за чередой недавних инцидентов. Взлом оказался в необычно враждебном для DeFi периоде, особенно в этом месяце. Основанный на Солане бессрочный протокол Drift был украден около 285 миллионов долларов 1 апреля в результате атаки, позже связанной с игроками, связанными с Северной Кореей, и по меньшей мере дюжина более мелких протоколов была атакована.