Основатель Cardano Чарльз Хоскинсон в своем последнем прямом эфире отметил, что хакерская атака на KelpDAO на сумму около 292 миллионов долларов — это не просто очередной инцидент с мостом, но и раскрывает риск системного заражения, который может возникнуть из-за единой уязвимости в экосистеме Ethereum при наложении рестейкинга, кросс-чейн передачи сообщений и кредитных протоколов. Он считает, что атака 18 апреля обнажила самую уязвимую часть современного DeFi — не смарт-контракты на уровне приложений, а уровень верификации и взаимозависимости между протоколами.
Хоскинсон подчеркнул, что эта атака, в ходе которой было украдено около 116 500 rsETH из контракта хранения KelpDAO на Ethereum, должна заставить отрасль пересмотреть предположения о доверии к кросс-чейн мостам, дизайн валидаторов и скорость распространения некачественного залога на кредитных рынках. Он особо отметил, что суть инцидента заключается в том, что поддельные кросс-чейн сообщения были ошибочно верифицированы как легитимные, что привело к высвобождению средств на Ethereum, что является новой моделью атаки.
Он особенно раскритиковал конфигурацию валидаторов один-к-одному, использованную в затронутой системе, считая, что лучшей практикой должна быть модель множественных валидаторов (например, три из пяти). В сложной многоуровневой системе, уже включающей стейкинг, рестейкинг-протоколы, кросс-чейн мосты и кредитные платформы, единственный активный DVN представляет собой неприемлемую единую точку отказа. Хоскинсон заявил, что проблема заключается в логике верификации, а не в логике приложения, и собственные контракты KelpDAO прошли аудит и работали нормально.
Последствия инцидента особенно серьезны. Вместо того чтобы продавать украденное на децентрализованных биржах, хакер использовал украденные rsETH в качестве залога на кредитных рынках, чтобы занять больше ликвидных активов, превратив эксплуатацию уязвимости в проблему балансов других протоколов. Хоскинсон назвал эту динамику истинной новизной события: это не просто хакерская атака на кросс-чейн мост, она распространилась на кредитные рынки, вызвав заражение плохими долгами и в конечном итоге — набег на банк: хакерская атака на 290 миллионов долларов привела к оттоку TVL в 13 миллиардов долларов за очень короткое время.
Согласно публичным отчетам, на которые он ссылается, пострадали как минимум девять протоколов, и только убытки Aave оцениваются в диапазоне от 6,6 до 8,45 миллиардов долларов. В течение 24 часов после атаки цена rsETH резко колебалась в диапазоне от 1600 до 2500 долларов. Хоскинсон также упомянул возможную причастность северокорейской хакерской группы Lazarus, но признал, что атрибуция еще не подтверждена независимыми криминалистическими компаниями. На момент публикации Cardano (ADA) торгуется по цене 0,2504 доллара.