Múlt szombaton a DeFi közösség egy 292 millió dolláros sokkra ébredt. Nem egy hibás okosszerződés vagy egy balul elsült audit volt az oka, ugyanis minden kód rendben volt. A hiba a rendszerek közötti „bizalmi láncban” és az alapértelmezett beállításokban rejlett.
Mi történt pontosan?
A támadás (melyet nagy valószínűséggel az észak-koreai Lazarus Group hajtott végre) egy sebészi pontosságú, többlépcsős akció volt:
-
A hálózat megmérgezése: A támadók feltörtek két RPC-csomópontot, amelyekre a LayerZero decentralizált verifikációs hálózata (DVN) támaszkodott.
-
Adathamisítás és DDoS: Mialatt a feltört csomópontok hamis adatokat szolgáltattak, a támadók DDoS támadással megbénították a tiszta csomópontokat. A rendszer így kénytelen volt a „megmérgezett” node-okra átállni.
-
A rablás: A megtévesztett verifikátorral a támadó hamis üzenetet küldött, mintha a Kelp Unichain-hálózatáról érkezne. A Kelp bridge-szerződése gyanútlanul kiutalt 116 500 rsETH-t (kb. 292 millió dollár) a támadó tárcájába.
-
Tisztára mosás: Az ellopott rsETH-t azonnal az Aave protokollba helyezték letétként, hogy „valódi” WETH-t vegyenek fel hitelként ellene.
Bár a Kelp vészhelyzeti protokollja 46 perc után leállította a szerződéseket, a kár már megtörtént. Ha nem lépnek, a veszteség a 391 millió dollárt is elérhette volna.
🔽Folytatódik🔽
🔽Folytatás🔽
A fertőzés: Pánik az Aave-nél
Mivel a fedezetlen rsETH bekerült az Aave rendszerébe, a piac azonnal reagált:
-
Tőkeelmenekülés: Az Aave teljes zárolt értéke (TVL) 26,4 milliárdról 15,4 milliárd dollárra zuhant 24 óra alatt.
-
Likviditási válság: A nagy halak (MEXC, Nonco, Abraxas Capital) összesen több mint 1,2 milliárd dollárt vontak ki. A WETH pool kihasználtsága elérte a 100%-ot, így a betétesek jelenleg nem tudnak kivenni pénzt.
-
Rossz adósság: Az Aave kb. 123-230 millió dollárnyi behajthatatlan adósságot görget maga előtt, miközben a biztosítási alapja csak 50 milliót fedez.
Ki a hibás? A „Default” csapdája
A Kelp DAO és a LayerZero most egymásra mutogat:
-
LayerZero: Azt állítják, ők javasolták a több verifikátoros (multi-DVN) beállítást.
-
Kelp DAO: Szerintük a LayerZero alapértelmezett (1-of-1) beállítása a hibás, és nem kaptak konkrét figyelmeztetést a kockázatról.
A független elemzések (pl. a Yearn fejlesztője, banteg részéről) megerősítették: a LayerZero rendszere alapból a legkevésbé biztonságos, egyetlen forrásra támaszkodó konfigurációval indul el.
A nagyobb baj: 47%
A hétfői Dune Analytics elemzés rávilágított a rendszerszintű kockázatra: az aktív LayerZero integrációk 47%-a (mintegy 1250 alkalmazás) ugyanazt a sebezhető, 1-of-1 konfigurációt használja, amivel a Kelp-et kifosztották.
Ez már nem csak a Kelp problémája, hanem az egész iparágé. Az alapértelmezett beállítások (defaults) tervezési döntések, és ha a felhasználók közel fele a leggyengébb láncszemet választja, ott a protokoll felelőssége is megkerülhetetlen.
Mi várható?
A LayerZero drasztikus lépésre szánta el magát: bejelentették, hogy nem hitelesítenek többé üzeneteket olyan alkalmazásoknak, amelyek nem váltanak biztonságosabb konfigurációra. Ez az elkövetkező hetekben a DeFi történetének egyik legnagyobb kényszerített biztonsági frissítését eredményezi.
Bár Justin Sun már felajánlotta, hogy tárgyal a hackerekkel, ha valóban az észak-koreai állami csoport áll a háttérben, a diplomáciának kevés esélye van. A szektor számára marad a kemény tanulópénz: a decentralizáció csak akkor ér valamit, ha a verifikáció is valóban az.
