博链BroadChain'den öğrendiğimize göre, 22 Nisan 19:30'da DeFi alanı bir darbe daha aldı. Likidite yeniden stake projesi Kelp DAO yakın zamanda bir saldırıya uğradı ve 292 milyon dolara varan kayıp yaşadı. Bu olay sadece projenin kendi hazinesini boşaltmakla kalmadı, aynı zamanda DeFi'nin birleştirilebilirliği yoluyla zincirleme bir reaksiyonu tetikleyerek, borç verme protokolü Aave'de 200 milyon doların üzerinde temerrütlü kredi oluşmasına neden oldu.
Güvenlik analizleri, saldırganın akıllı sözleşme açıklarından yararlanmadığını, bunun yerine temel RPC düğümlerini kirleterek çapraz zincir protokolü LayerZero'ya sahte veri ilettiğini gösteriyor. Ancak, ölümcül zayıflık, projenin çekirdek aşamasının 1/1 tek imza yetki mekanizması kullanmasıydı; bu, bilgisayar korsanının veri kirlendikten sonra doğrudan ilerlemesine ve büyük miktarda varlığı tek seferde transfer etmesine olanak tanıdı. Zincir üzeri izleme, Kuzey Koreli bilgisayar korsanı grubu Lazarus Group'u işaret ediyor; onların etkili para aklama yolları, devlet destekli saldırganların tehdidini vurguluyor.
Olaydan sonra, sorumluluk konusunda tartışmalar başladı. Kelp DAO, LayerZero'nun altyapısında açıklar olduğunu iddia ederken, LayerZero ise sorunun proje tarafının RPC verilerine körü körüne güvenmesinde olduğunu savunuyor. Aave, Kelp DAO'nun varlıklarını teminat olarak kabul ettiği için zarar gördü. Kayıpları telafi etmek için koruma fonunu kullanmayı planlasa da, bu durum DeFi ekosistemindeki "birinin zararı herkesin zararı" sistemik riskini ortaya çıkardı.
Bu saldırı, sektörde DeFi riskleri ile getirilerin uyumsuzluğu üzerine derin bir düşünmeyi tetikledi. Kullanıcılar, tek haneli yıllık getiriler veya puanlar peşinde koşarken, anapara tamamını kaybetme riskini üstleniyorlar. Toplam kilitli değeri artırmak için birçok protokol düşük ücret modelleri kullanıyor; bunların cılız gelirleri, yüksek seviyeli saldırılara karşı koymak için gereken güvenlik yatırımlarını desteklemekte yetersiz kalıyor ve bu da "getirilerin özelleştirilmesi, risklerin toplumsallaştırılması" şeklinde kırılgan bir yapı oluşturuyor.
Kurumsal sermayenin hızla giriş yapma eğilimi karşısında, sektör uyumlu saklamanın değerini yeniden değerlendirmeye başlıyor. İş mantığını varlık saklamadan ayırmak ve profesyonel saklama kurumlarının hazine yönetiminden sorumlu olması, tek nokta arızalarını etkili bir şekilde önleyebilir. Bağımsız niyet risk yönetimi motorları, zincir dışında anormal işlemleri engelleyip yeniden inceleyerek, kodun sağlayamayacağı güven düzeyinde koruma sunabilir. Bu, DeFi protokollerinin ana akım sermayeyi çekmek ve uzun vadeli gelişim sağlamak için gerekli bir altyapı haline gelebilir.