博链BroadChain узнал, что 22 апреля в 19:30 сектор DeFi вновь понес тяжелые потери. Проект ликвидного рестейкинга Kelp DAO недавно подвергся атаке, убытки составили до 292 миллионов долларов. Этот инцидент не только опустошил собственную казну проекта, но и через композиционность DeFi вызвал цепную реакцию, приведшую к образованию более 200 миллионов долларов безнадежных долгов в кредитном протоколе Aave.
Анализ безопасности показал, что злоумышленник использовал не уязвимость смарт-контракта, а передал поддельные данные в кроссчейн-протокол LayerZero через загрязнение базовых узлов RPC. Однако фатальной слабостью стало использование в ключевом звене проекта механизма одноподписной авториз��ции 1/1, что позволило хакеру после загрязнения данных беспрепятственно перевести огромные активы за один раз. Трассировка в блокчейне указывает на северокорейскую хакерскую группу Lazarus Group, чей эффективный путь отмывания денег подчеркивает угрозу со стороны атакующих государственного уровня.
После инцидента возникли споры о распределении ответственности. Kelp DAO обвинил LayerZero в наличии уязвимостей в инфраструктуре, на что последний возразил, что проблема заключается в слепом доверии проекта к данным RPC. Aave, принявший активы Kelp DAO в качестве залога, пострадал по принципу "когда дерутся, пострадавшему достается", и хотя планирует использовать защитный фонд для покрытия убытков, это обнажило системный риск экосистемы DeFi "один страдает — все страдают".
Эта атака вызвала глубокие размышления в отрасли о несоответствии рисков и доходности в DeFi. Пользователи, стремясь к однозначной годовой доходности или баллам, берут на себя риск полной потери основного капитала. В борьбе за общий заблокированный объем (TVL) многие протоколы используют модели с низкими комиссиями, чьи скромные доходы не могут обеспечить необходимые инвестиции в безопасность для отражения высокоуровневых атак, формируя хрупкую структуру "приватизации доходов и социализации рисков".
В условиях ускоряющегося притока институционального капитала отрасль начинает пересматривать ценность регулируемого кастодиального обслуживания. Разделение бизнес-логики и хранения активов, с передачей управления казной профессиональным кастодиальным учреждениям, может эффективно предотвратить единичные сбои. Независимый механизм управления рисками намерений может перехватывать и проверять подозрительные транзакции оффчейн, обеспечивая доверительную защиту, недоступную коду. Возможно, это станет необходимой инфраструктурой для привлечения основного капитала и долгосрочного развития протоколов DeFi.