A KelpDAO, egy decentralizált pénzügyi protokoll, 293 millió dolláros támadás áldozatául esett – ez az egyik legnagyobb a DeFi történetében. A támadás aggasztó elmozdulást jelez: az iparág legnagyobb biztonsági fenyegetése már nem csupán a hibás kód, hanem az egymással összekapcsolt rendszerek szövevényes hálója, amely ezeket a platformokat működteti.
A csapás mértéke
Az ellopott összeg közel 300 millió dollár, ami a támadást a legnagyobb dollárértékű DeFi-hackelések közé helyezi. A támadók a KelpDAO ökoszisztémáján belül több likviditási poolt is kiürítettek, bár az eltulajdonított eszközök pontos megoszlását nem hozták nyilvánosságra. A protokoll felfüggesztette a működését, amíg a vizsgálat folyik.
A kódhibáktól a rendszerszintű kockázatig
Évekig a DeFi-támadások jellemzően egyedi okosszerződés-sebezhetőségekből fakadtak – egy hibás kódsor itt, egy hiányzó engedélyellenőrzés ott. A KelpDAO-hackelés azonban másfajta sebezhetőségre mutat rá: arra a komplexitásra, amely abból adódik, hogy a protokollok hogyan lépnek kapcsolatba egymással, az orákulumokkal és a külső likviditási forrásokkal. A támadás ezeket a függőségeket használta ki, nem pedig egyetlen kódolási hibát – derül ki a rendelkezésre álló korlátozott információk alapján.
Ez az elmozdulás már régóta érlelődik. Ahogy a DeFi-rendszerek egyre integráltabbá válnak, egy összetevő hibája sok másra is átterjedhet. A KelpDAO-incidens ékes példája annak, mi történik, ha ezt a komplexitást nem térképezik fel vagy nem biztosítják teljes mértékben.
Mi történt rosszul
Az utólagos elemzések még váratnak magukra. A korai jelek szerint a támadók manipulálták az árfolyamadatokat, vagy kihasználták a protokollok közötti hitelműveletek mechanizmusait – olyan technikákat, amelyek a rendszer különböző részeinek stresszhelyzetben tanúsított viselkedésének ismeretén alapulnak. A KelpDAO csapata még nem erősítette meg a támadási vektort, és a kódot a bevezetés előtt ellenőrző biztonsági auditorok valószínűleg nem is észlelhették volna ezt a támadást, mivel nem egyszerű kódhibáról volt szó.
A következmények
A KelpDAO felhasználói várakozásra kényszerülnek. A protokoll felfüggesztette a kifizetéseket, és együttműködik a hatóságokkal és biztonsági cégekkel. Egyelőre nem világos, hogy bármilyen összeg visszaszerezhető-e. Hasonló hackelések esetén a múltban néha részleges visszafizetésre került sor tárgyalások után, de erről itt nincs hír.
A tágabb DeFi-közösség figyelemmel kíséri az eseményeket. Ha a rendszerszintű komplexitás válik a támadások új normájává, akkor a hagyományos kódellenőrzések – amelyek az egyedi szerződésekre összpontosítanak – nem lesznek elegendőek. Az iparágnak valószínűleg stressztesztelő és szimulációs eszközöket kell alkalmaznia, amelyek modellezik a protokollok közötti interakciókat.
A KelpDAO nem közölte, hogy mikor tesz közzé teljes incidensjelentést. Ez a dokumentum kulcsfontosságú lesz annak megértéséhez, hogy pontosan hogyan zajlott le a támadás – és hogyan lehet megelőzni a következőt.
