Hogyan történhetett a KelpDAO-kifosztás?
A támadás középpontjában a Kelp rsETH nevű, hozamtermelő Ether (ETH) tokenje és egy úgynevezett LayerZero bridge-elem állt. Ez a komponens teszi lehetővé, hogy digitális eszközök a különböző blokkláncok között mozogjanak. Elvileg ilyen hidak úgy működnek, hogy az egyik láncon zárolják a letétbe helyezett eszközt, és egy másik láncon ugyanarra az értékre új tokent bocsátanak ki, amit egy hiteles ellenőr – vagyis egy validator – felügyel.
A Kelp esetében viszont mindössze egyetlen entitás – maga a csapat – volt a jóváhagyó. Így gyakorlatilag elég volt egy ponton átvenni az irányítást ahhoz, hogy valaki tetszőlegesen nagy mennyiségben bocsásson ki fedezet nélküli rsETH-t. A támadó élt is ezzel a lehetőséggel, az így létrehozott tokeneket pedig pillanatok alatt elhelyezte például az Aave-n, a legnépszerűbb decentralizált kriptokölcsönzőnél fedezetként, hogy valódi ETH-t vegyen fel hitelként.
A hirtelen lépéssorozat következménye, hogy az olyan kölcsönplatformok, mint az Aave, most olyan fedezetet tartanak, amelynek értékesítése gyakorlatilag lehetetlen, miközben a valódi, likvid kriptoeszközök már kikerültek a rendszerből. A vezető elemzők szerint ez több százmillió dollárnyi kétes fedezetű tartozást hagyhat maga után, és könnyen elindíthat egy „bankroham-szerű” menekülést.
Ki vagy mi tehet róla?
A LayerZero rendszerében egyetlen hivatalos csomópont kezeli a jóváhagyásokat, ám nem tudni, ezt törték-e fel, rosszul konfigurálták, vagy valamilyen trükkel félrevezették a rendszert. Egyelőre azt sem tudni, pontosan ki áll a támadás mögött, de elemzők szerint nem amatőr munka volt.
Miért zuhant megint a DeFi-bizalom?
A jelenlegi válság fő tanulsága az, hogy a DeFi-protokollok összefonódása miatt egyetlen, aránytalanul gyenge láncszem is áttételesen képes veszélyeztetni az egész rendszert. A nem elkülönített hitelezési modellek, ahol a különböző eszközök egymás kockázatát is viselik, csak felerősítik az efféle események következményeit. Ráadásul az ellenőrzések hiánya miatt olyan esetek sem szűrődnek ki, mint a Kelpnél az egyetlen aláíróhoz kötött hitelesítés.
Ami ezután jött, arra senki sem számított – az iparágban egyre többen kongatják a vészharangot: az ilyen incidensek nemcsak protokoll-újításokat, hanem komoly bizalomvesztést is hoznak. A fentiek tükrében 2026 minden jel szerint eddig a legsúlyosabb év lesz hackertámadások szempontjából, újabb súlyos csapást mérve a már amúgy is megingott DeFi-világra.
