Egyre kifinomultabb támadások
A Kelp-támadás nem a titkosítás feltörésével vagy kulcsok megfejtésével történt – a rendszer a tervezett módon működött, csak éppen a támadók manipulálni tudták a bemenetként szolgáló adatokat. A hamis információk miatt olyan tranzakciókat is jóváhagyott a rendszer, amelyek valójában sosem történtek meg. Fontos megjegyezni, hogy a jogosultságot igazoló aláírás nem jelenti azt, hogy az üzenet valós is – a rendszer csupán azt ellenőrizte, hogy ki küldte az adatot, de az adatok helyességét már nem. Ezért nem egy újfajta támadásról, hanem klasszikus hibáról van szó: a gyenge konfigurációkon keresztül támadnak, nem a kriptográfia feltörésével.
Decentralizáció – elmélet kontra valóság
A Kelp rendszere egyetlen validátoros felépítést használt, mivel ez egyszerű és gyors beállítást tesz lehetővé, azonban épp ezzel szünteti meg a decentralizált rendszer egyik utolsó védelmi vonalát is. Ha csak egyetlen ellenőr dönt mindenről, az már nem decentralizált. A LayerZero hálózatban alapértelmezett volt ez a veszélyes beállítás, ami különösen problémás, mivel az ilyen rendszerek más DeFi-alkalmazásokhoz is kapcsolódnak, így egyetlen hibapont is láncreakciót indíthat el. Most például az Aave-n is jelentős veszteségek keletkeztek, mivel a hibás, ellopott kriptoeszközöket fedezetként használták, amelyek hirtelen értéktelenné váltak.
A következő célpont: az átláthatatlan infrastruktúra
Ezek a támadások rávilágítanak a marketing és a valóság közötti szakadékra: a decentralizáció általában csak a látványosabb rétegekben jelenik meg, míg az alapinfrastruktúra, például az adatszolgáltatók vagy a láncok közötti (cross-chain) összeköttetések gyakran centralizáltak és alulszabályozottak. Az észak-koreai hackerek most ezekre a kevésbé látható, de kritikus rétegekre koncentrálnak: a láncok közötti és restaking-protokollokra, amelyek a különböző rendszerek közötti értékmozgásért felelnek. Ezek a területek bonyolultak, nehéz őket monitorozni, viszont annál vonzóbb célpontot jelentenek.
A jól ismert hibák az igazi veszély
Az igazi kockázat tehát nem az ismeretlen sebezhetőség, hanem az, hogy a régi, jól ismert problémákat nem kezelik kellő szigorral – például a konfigurációs hibákat, a többes hitelesítés hiányát vagy az infrastruktúra centralizáltságát. Miközben a támadók folyamatosan fejlesztik eszköztárukat, a védelmi oldal gyakran a régi hibákat sem javítja ki, így a veszteségek egyre nagyobbak, a kriptovilág biztonsága pedig továbbra is illúzió marad.
