Rekordméretű hack és következményei
A hack fő oka egy rosszul konfigurált cross-chain (láncok közötti) ellenőrzési rendszer volt a LayerZero infrastruktúrában. Ez a fiaskó ismét rámutatott arra, hogy a túlságosan rugalmas, „moduláris” biztonsági rendszerek, amelyek nem támaszkodnak szilárd minimális követelményekre, rendszerszintű kockázatokat rejtenek magukban. A támadás során a teljes rsETH-kínálat körülbelül 18%-a – közel 116 500 token – került illetéktelen kezekbe.
A támadás nemcsak magát a Kelp DAO-t rengette meg, hanem pánikreakciót indított el a többi nagy DeFi-platformon is. Olyan népszerű hitelezési protokollok, mint az Aave, jelentős betétkiáramlást tapasztaltak; az adott napon a teljes zárolt érték mintegy 6,4 milliárd dollárról 4,9 milliárdra esett vissza, azaz durván 1 700 milliárd forintot menekítettek ki a DeFi-protokollokból. Az AAVE token árfolyama eközben több mint 18 százalékot zuhant.
Hibás konfiguráció és strukturális problémák
A szakértők egyetértenek abban, hogy a Kelp DAO elleni támadás nem valamilyen alapvető kódbeli hibából, hanem hibás konfigurációból fakadt. A támadóknak elég volt egy pontatlanul beállított hitelesítési mechanizmust kihasználniuk; egyetlen digitális aláírás révén 116 500 rsETH jelent meg a semmiből az Ethereum-hálózaton. Ráadásul a LayerZero V2-ben használt Decentralized Verifier Network (DVN) tökéletlenségeire is rámutattak, mivel egy ilyen hálózat akár egyetlen, egy entitás által futtatott csomópontra is épülhet, így nincs igazi biztonsági alsó korlát.
Nem hagyható figyelmen kívül, hogy a DeFi alapvető filozófiája szerinti rugalmasság, ha nincsenek megfelelő védőkorlátok, súlyos rejtett veszélyeket hordozhat. Egy iparági szereplő úgy fogalmazott: „Ha minden hullámvasút-gyártó saját maga döntheti el, milyen minimális biztonsági előírásokat alkalmaz, abból könnyen tragédia lehet.” Ezenfelül sok fejlesztő sürgette, hogy a jövőben minden cross-chain projekt esetében legyen kötelező a magas szintű alapbiztonság, amelyre magasabb értékű tranzakciók esetén további rétegeket lehet építeni.
Pánik és piacfagyasztás
A támadás közvetlen eredményeként tucatnyi platform – többek között az Aave és a Lido – leállította, illetve felfüggesztette az rsETH-hez kapcsolódó tevékenységeket. Más protokollok is sorra befagyasztották releváns funkcióikat, hogy elkerüljék a további fertőzésveszélyt. A közösségi média és a kriptós fórumok hangulata jelentősen elromlott; többen már a DeFi végét vizionálják.
A veszteség nem maradt annyiban, hiszen épp egy olyan periódus kellős közepén történt, amikor az elmúlt hetekben is több nagy hack rázta meg a kriptoszektort. Április 1-jén például egy Solana-alapú kereskedési platformból 106 milliárd forint értékű eszközt loptak el; az akciót később Észak-Koreához köthető hackercsoporthoz vezették vissza. Ezenfelül a CoW Swap, a Zerion, a Rhea Finance és a Silo Finance is nemrégiben célponttá vált.
Mit hoz a jövő a DeFi szektor számára?
A technikai elemzések ellenére a legtöbb szereplő még csak most próbálja feltárni a valódi kiváltó okokat, és azt, milyen mély lehet a fertőzés – maga a LayerZero is csak vizsgálja az eseményeket. A Kelp DAO minden érintett hálózaton felfüggesztette az rsETH-szerződéseket, és együttműködik a szakértőkkel a részletes elemzésben.
Nem hagyható figyelmen kívül, hogy ilyen méretű, rendszerszintű pánik eddig ritkaságszámba ment, de a mostani eset a kereszthálózati infrastruktúrák és az újfajta stakingmodellek sok gyenge pontjára rávilágított. Néhány fejlesztő szerint egyértelmű a tanulság: a mostani hack során nem a kód, hanem az emberi konfigurációs hiba okozta a bajt. Hiába működnek a különféle eszközök elvileg jól, egy rosszul beállított rendszer azonnal támadhatóvá válik.
A piaci szereplők most már mindenkit arra buzdítanak: vizsgálják át a beállításaikat, különösen, ha láncok közötti üzenetküldésre alapoznak. Az üzenet világos: az igazi biztonság az apró részletekben rejlik, ezért minden projekt nézze át a konfigurációját, és legyen óvatos.
