博链BroadChain获悉,4月22日 19:30,El campo DeFi sufrió otro duro golpe. El proyecto de re-apuesta de liquidez Kelp DAO fue atacado recientemente, con pérdidas que alcanzaron los 292 millones de dólares. Este incidente no solo vació las propias arcas del proyecto, sino que también, a través de la composibilidad de DeFi, desencadenó una reacción en cadena que resultó en más de 200 millones de dólares en deudas incobrables para el protocolo de préstamos Aave.
El análisis de seguridad muestra que el atacante no explotó una vulnerabilidad en el contrato inteligente, sino que transmitió datos falsificados al protocolo de interoperabilidad LayerZero contaminando los nodos RPC subyacentes. Sin embargo, el punto débil fatal fue que un mecanismo de autorización de firma única 1/1 se utilizó en un enlace central del proyecto, permitiendo al hacker, una vez contaminados los datos, avanzar sin obstáculos y transferir de una vez una enorme cantidad de activos. El rastreo en cadena apunta al grupo de hackers norcoreano Lazarus Group, cuya eficiente ruta de lavado de dinero subraya la amenaza que representan los atacantes a nivel estatal.
Después del incidente, la atribución de responsabilidad cayó en controversia. Kelp DAO acusó a la infraestructura de LayerZero de tener vulnerabilidades, mientras que este último contraargumentó que el problema radicaba en la confianza ciega del equipo del proyecto en los datos RPC. Aave sufrió daños colaterales por aceptar activos de Kelp DAO como garantía, y aunque planea utilizar su fondo de protección para cubrir las pérdidas, esto expone el riesgo sistémico del ecosistema DeFi de "cuando uno sufre, todos sufren".
Este ataque ha provocado una profunda reflexión en la industria sobre el desajuste entre riesgo y recompensa en DeFi. Los usuarios, en busca de rendimientos anuales de un solo dígito o puntos, asumen el riesgo de perder la totalidad de su capital principal. Para competir por el valor total bloqueado (TVL), muchos protocolos adoptan modelos de tarifas bajas, cuyos magros ingresos son insuficientes para respaldar la inversión en seguridad necesaria para resistir ataques de alto nivel, formando una estructura frágil de "privatización de ganancias, socialización de riesgos".
Ante la tendencia de acelerada entrada de capital institucional, la industria comienza a reevaluar el valor de la custodia regulada. Separar la lógica del negocio de la custodia de activos, delegando la gestión de las arcas a instituciones de custodia profesionales, puede prevenir eficazmente fallos de un solo punto. Un motor de control de riesgos de intención independiente puede interceptar y revisar transacciones anómalas fuera de la cadena, proporcionando una protección de nivel fiduciario que el código no puede ofrecer. Esto podría convertirse en la infraestructura necesaria para que los protocolos DeFi atraigan capital institucional y logren un desarrollo a largo plazo.