KelpDAO, hajautettu rahoitusprotokolla, on joutunut 293 miljoonan dollarin hyökkäyksen kohteeksi – yksi DeFin historian suurimmista. Hyökkäys viestii huolestuttavasta muutoksesta: alan suurin tietoturvauhka ei enää ole pelkästään virheellinen koodi, vaan toisiinsa kytkeytyvien järjestelmien monimutkainen verkosto, joka näitä alustoja pyörittää.
Iskun laajuus
Varastetut varat ovat lähes 300 miljoonaa dollaria, summa, joka sijoittaa tämän tietomurron DeFi-hakkerointien kärkijoukkoon dollariarvossa mitattuna. Hyökkääjät tyhjensivät useita allaita KelpDAO:n ekosysteemissä, mutta varojen tarkkaa jakautumaa ei ole paljastettu. Protokolla on keskeyttänyt toimintansa tutkinnan ajaksi.
Koodivirheistä systeemiriskeihin
Vuosien ajan DeFi-hyökkäykset johtuivat tyypillisesti yksittäisistä älysopimusten haavoittuvuuksista – virheellinen koodirivi täällä, puuttuva käyttöoikeustarkistus tuolla. Mutta KelpDAO:n hakkerointi viittaa erilaiseen haavoittuvuuteen: monimutkaisuuteen, joka syntyy protokollien vuorovaikutuksesta toistensa, orakkeleiden ja ulkoisten likviditeettilähteiden kanssa. Hyökkäys käytti hyväkseen näitä riippuvuuksia eikä yksittäistä koodausvirhettä, saatavilla olevien vähäisten tietojen mukaan.
Tämä muutos on ollut tekeillä. Kun DeFi-järjestelmät integroituvat yhä enemmän, yhden komponentin vika voi levitä moniin. KelpDAO:n tietomurto on havainnollinen esimerkki siitä, mitä tapahtuu, kun tätä monimutkaisuutta ei ole täysin kartoitettu tai suojattu.
Mitä meni pieleen
Julkisia jälkiselvityksiä ei ole vielä tehty. Varhaiset viitteet viittaavat siihen, että hyökkääjät manipuloivat hintasyötteitä tai käyttivät hyväkseen protokollien välistä lainamekaniikkaa – tekniikoita, jotka perustuvat siihen, että ymmärretään, miten järjestelmän eri osat käyttäytyvät stressitilanteessa. KelpDAO-tiimi ei ole vahvistanut hyökkäysvektoria, eivätkä turvallisuusauditoijat, jotka tarkastivat koodin ennen julkaisua, ole välttämättä havainneet tällaista hyökkäystä, koska se ei ollut yksinkertainen koodivirhe.
Seuraukset
KelpDAO:n käyttäjät odottavat. Protokolla on jäädyttänyt nostot ja tekee yhteistyötä lainvalvontaviranomaisten ja turvallisuusyritysten kanssa. Ei ole vielä selvää, voidaanko varoja saada takaisin. Vastaavat hakkerointitapaukset ovat aiemmin johtaneet toisinaan osittaiseen palautukseen neuvottelujen jälkeen, mutta tästä ei ole tietoa.
Laajempi DeFi-yhteisö seuraa tilannetta tarkasti. Jos systeemisestä monimutkaisuudesta tulee uusi normi hyökkäyksille, perinteiset koodiauditoinnit – jotka keskittyvät yksittäisiin sopimuksiin – eivät riitä. Alan on ehkä otettava käyttöön stressitestaus- ja simulointityökaluja, jotka mallintavat vuorovaikutuksia useiden protokollien välillä.
KelpDAO ei ole kertonut, milloin se julkaisee täydellisen tapahtumaraportin. Tuo asiakirja on ratkaiseva sen ymmärtämiseksi, miten hyökkäys tarkalleen tapahtui – ja seuraavan estämiseksi.
