A DeFi a legrosszabb hónapját élte át több mint egy év óta ebben az áprilisban, amikor a támadók 28 különálló incidens során 635 millió dollárt szivattyúztak ki – derül ki a blokklánc-biztonsági cégek által összeállított adatokból. Az összeg a kumulatív történelmi veszteségeket 16,5 milliárd dollárra emeli, amelyből 7,7 milliárd dollár kifejezetten a DeFi-t célozta. A hónap legkárosabb egyedi eseménye – az rsETH híd támadás – 200 millió dolláros rossz adósságot hagyott az Aave-nál, és újra megnyitotta a vitát arról, hogy az iparág hogyan helyezi előtérbe a sebességet a biztonsággal szemben.
Az rsETH támadás: egy egyedi konfiguráció, amely évekig élt
\nA KelpDAO rsETH hídja elleni támadás egy 1-az-1-ben decentralizált validátorhálózat (DVN) konfigurációt használt ki – egy olyan beállítást, amely csak egyetlen validátort igényelt egy üzenet jóváhagyásához. A támadók kompromittálták az RPC infrastruktúrát, DDoS segítségével mérgezett csomópontokra kényszerítették a feladatátvételt, és hamis adatokat injektáltak abba az egyetlen DVN-be. A hamisított üzenet körülbelül 116 500 rsETH-t szabadított fel, amelyet aztán fedezetként helyeztek el az Aave-n.
Az Aave incidensjelentése megerősítette, hogy az Ethereum lánc elfogadta a támadás 308-as nonce-ját, míg az Unichain forráspont soha nem lépett túl a 307-en – ez egy olyan eltérés, amelyet jobb megfigyeléssel észre lehetett volna venni. A KelpDAO szerint az 1-az-1-ben DVN volt az alapértelmezett, amelyet maga a LayerZero szállított. A LayerZero ezzel szemben azt állítja, hogy a KelpDAO visszaminősítette erre a beállításra. A vitától függetlenül a LayerZero azóta protokollszinten betiltotta az 1-az-1-ben DVN konfigurációt.
Hibáztatás, felelősség és a Lazarus kapcsolat
\nA Chainalysis előzetesen az észak-koreai Lazarus csoporthoz kötötte a támadást, bár a besorolás még folyamatban van. Az iparág számára az incidens kevésbé arról szól, hogy ki követte el, hanem inkább arról, hogyan történt. „A DeFi történelmileg a növekedést, integrációkat, likviditást és sebességet jutalmazta a biztonsági érettséggel szemben” – mondta Mitchell Amador, az Immunefi vezérigazgatója. Rámutatott olyan elhanyagolt gyakorlatokra, mint a multisig higiénia, az ellátási lánc megerősítése, a valós idejű megfigyelés és a vészhelyzeti reagálási eljárások, amelyeket számos protokoll továbbra is kihagy.
Ben Nadareski, a Solstice Finance vezérigazgatója tömören fogalmazott: „A nyertes csapatokat a kezdetektől fogva a megfelelésre és a biztonságra építik.” Kasper Pawlowski, az Euler Finance technológiai igazgatója pedig megjegyezte, hogy a DeFi-ben a kockázatértékelést gyakran egyszeri bejelölőnégyzetként kezelik, de „a kockázat dinamikus”.
11 milliárd dollárnyi TVL tűnt el egyetlen hónap alatt
\nAz rsETH eseten túl a DeFi csaknem 11 milliárd dollárt veszített a teljes zárolt értékéből a múlt hónapban a Drift és a KelpDAO híd elleni nagy port felverő támadások miatt. A számok alátámasztják azt a tendenciát, amelyre a biztonsági kutatók már régóta figyelmeztetnek: ahogy a protokollok az integrációkat és a likviditást hajszolják, a támadási felület gyorsabban növekszik, mint ahogy a védekezés lépést tudna tartani. Az áprilisi összeg a legmagasabb havi veszteség 2024 eleje óta.
A kérdés most az, hogy az iparág végre folyamatos folyamatként kezeli-e a biztonságot, nem pedig egy indulási napi ellenőrzőlistaként – vagy vár egy újabb 200 millió dolláros lyuk megjelenésére.
